Condamné en justice pour un tuto Aircrack — Korben

Il s’est pas­sé un truc vrai­ment étrange cette semaine. Un blo­gueur en sécu­ri­té (Krach.in) a été condam­né à 750 € d’a­mende pour, je cite : “(…)Mise à dis­po­si­tion sans motif légi­time (…) de don­nées conçu ou adap­té pour une atteinte au fonc­tion­ne­ment d’un sys­tème de trai­te­ment auto­ma­ti­sé de don­nées”. Je suis res­té silen­cieux sur le sujet atten­dant d’en savoir plus pour me faire un avis. Et voi­ci main­te­nant ce que je peux en dire… Concrè­te­ment, ce

Source : Condam­né en jus­tice pour un tuto Air­crack — Kor­ben

Je copie colle le mes­sage du concer­né, il est inté­res­sant :

L’his­toire d’un blog : KRACH.IN

Conster­né par le manque de sécu­ri­té infor­ma­tique que j’ai pu croi­ser j’ai eu envie de faire par­ta­ger quelques connais­sances dans le domaine du hacking.

Je me suis mis à la place d’un chef d’en­tre­prise, d’un sala­rié, d’un par­ti­cu­lier, d’un uti­li­sa­teur lamb­da ayant pour seules connais­sances infor­ma­tiques l’u­ti­li­sa­tion quo­ti­dienne au tra­vail ou à la mai­son (sou­vent can­ton­né à bureau­tique + inter­net).

Et là je me suis ren­du compte que sou­vent dans les médias on pou­vait lire / entendre des actua­li­tés concer­nant telle ou telle faille per­met­tant de por­ter atteinte à un sys­tème infor­ma­tique, mais que ce genre d’in­for­ma­tion ne fai­sait que de ren­trer par une oreille pour en sor­tir par l’autre.

J’ai donc déci­dé de mon­trer par la pra­tique que ce genre de dan­gers étaient bien réels par des démons­tra­tions (réa­li­sées dans le cadre d’un labo­ra­toire mon­té de toutes pièces évi­dem­ment).

Il est bien plus per­ti­nent de prendre conscience de ces dan­gers si on peut les maté­ria­li­ser et se convaincre de leur exis­tence dans le but de mieux se pré­mu­nir face à ces attaques.

Par­mi mes articles il y avait un peu de tous, des démons­tra­tions tech­niques, des actus de mise en garde, des coups de gueule, des bouts de code de pro­gram­ma­tion.

J’ai tou­jours fait mes articles dans un sens de mise en garde, pour por­ter la réflexion aux concer­nés, jamais je n’ai fait de tuto­riel ayant pour but de por­ter atteinte aux sys­tèmes auto­ma­ti­sés de don­nées comme on me l’a repro­ché.

Si un pirate mal­veillant avait vou­lu trou­ver des infos pour péné­trer un sys­tème, il est sûr que ce n’est pas mon blog qu’il aurait visi­té. Par exemple pour cas­ser du WiFi, si je tape ‘crack WiFi’ dans Google, j’ai ‘Envi­ron 15 500 000 résul­tats’, bref… Sachant qu’en plus dans mon article en ques­tion il manque des étapes menant à bien l’at­taque.

Tou­jours au sujet du WiFi, le WEP est mort depuis plus de 10 ans, il y a pas si long­temps de ça des FAI livraient des box avec du WEP par défaut, pour­quoi ne pas les avoir blâ­mé ? À cause de leurs gros sous ?

La per­qui­si­tion.

En sep­tembre 2014, c’é­tait le matin, j’é­tais en congés ce jour-là (heu­reu­se­ment, ça m’au­rait fait mal que ma femme et notre bébé se retrouvent face à ça), vers 9h ça toque à la porte.

Je vais ouvrir et là quatre gen­darmes en civil me montrent leur carte et m’an­noncent qu’ils viennent per­qui­si­tion­ner mon domi­cile. Je leur demande pour­quoi, et ils me répondent que c’est au sujet de mon blog qui parle de cra­cking.

Il sont en ‘fla­grant délit’ étant don­né que mon blog est tou­jours en ligne à ce moment-là. Pas le choix je les laisse entrer, ils embarquent alors mes uni­tés cen­trales, PC por­table, disques durs externes et clés USB.

Je pré­cise quand même qu’ils ont été cour­tois et n’ont pas tout retour­né comme des sau­vages. Par contre aucun scel­lé n’a été fait sur place, ils sont par­tis avec le matos sous le bras et dans les poches… je ne sais pas si c’est réglo mais j’ai trou­vé ça très limite d’un point de vue cor­rup­tion des don­nées entre temps…

Une fois la per­qui­si­tion faite ils m’ont invi­té à les rejoindre à la gen­dar­me­rie pour m’au­di­tion­ner, je m’y suis ren­du dans la fou­lée.

Arri­vé là bas le gen­darme m’in­ter­ro­geant m’a direc­te­ment deman­dé (en off) pour­quoi je n’a­vais pas mis de faux noms pour enre­gis­trer mon domaine et mon ser­veur comme ça ils ne seraient pas venus me cueillir… \le moment WTF

!\ j’ai tout sim­ple­ment répon­du que je ne m’é­tais rien d’illé­gal et que je n’a­vais aucune rai­son de vou­loir me cacher. Ça com­mence fort.

La suite de l’in­ter­ro­ga­toire se passe de la manière la plus simple, le gen­darme n’est pas agres­sif, il est même plu­tôt impres­sion­né par les com­pé­tences et m’ex­plique qu’ils sont obli­gés de trai­ter cette plainte, car elle vient d’une sorte de bot qui scanne le WEB FR et selon les conte­nus lève des infrac­tions… le bla­bla clas­sique pour te mettre en confiance.

Ah si et c’est à ce moment-là qu’il m’est deman­dé de cou­per mon blog.

Rien d’ex­cep­tion­nel à dire en ce qui concerne l’au­di­tion, ça n’a pas duré trop long­temps (1h30~2h), sauf l’im­pres­sion d’être un cri­mi­nel lors­qu’on te prend toutes les empreintes pos­sibles et qu’on te tire le por­trait de face et de pro­fil.

L’a­près-per­qui­si­tion.

Me voi­là ren­tré chez moi, et là ça fait bizarre, plus de media cen­ter, plus de PC, encore heu­reux que j’ai pu gar­der le smart­phone.

N’ayant plus la télé­vi­sion chez moi (j’en avais marre des publi­ci­tés et de la rede­vance audio­vi­suelle) je me suis deman­dé com­ment j’al­lais bien pou­voir suivre les actua­li­tés:)

Ça fai­sait vrai­ment vide, il ne res­tait que des écrans avec les câbles qui n’é­taient plus bran­chés au milieu de ces espaces vides où se trou­vaient les tours.

Étant don­né que je bosse en tant que déve­lop­peur logi­ciel, il m’est néces­saire d’a­voir un PC, j’ai donc du lâcher 600 euros pour me prendre un PC por­table en atten­dant ; pre­mière dépense que cela m’a engen­drée.

Les jours passent, les semaines aus­si. Au bout d’un mois, je rap­pelle le gen­darme et lui demande où en est l’a­na­lyse de mon maté­riel infor­ma­tique. On me répond que d’autres affaires sont prio­ri­taires sur l’a­na­lyse (com­pre­nez les his­toires de pédo­phi­lie prin­ci­pa­le­ment).

Un peu plus de deux mois sont pas­sés et fina­le­ment je peux enfin aller récu­pé­rer mon maté­riel \0/

En défi­ni­tive rien de mal sur mes ordi­na­teurs alors je peux tout récu­pé­rer. Au pas­sage le gen­darme essaye de m’in­ti­mi­der en me disant que s’ils l’a­vaient vou­lu ils auraient pu gar­der mon matos pour ré-attri­bu­tion (com­pre­naient pour qu’ils les gardent pour eux).

Maté­riel récu­pé­ré, la pre­mière chose que j’ai faite c’est d’a­na­ly­ser tout le hard­ware et le soft­ware au cas où une back­door aurait pris place (para­no quand tu nous tiens). Bon je vous ras­sure je n’ai rien trou­vé.

La convo­ca­tion.

Et voi­là qu’en mars 2015 je reçois une convo­ca­tion pour une CRPC pour avril 2015. J’ai donc un mois pour voir ça arri­ver. C’est court, et je ne suis pas du tout pré­pa­ré à ce genre de mer­dier.

Je prends donc un avo­cat, c’est obli­ga­toire pour une CRPC, et ça me coûte 400 euros pour qu’il se pré­sente à mes côtés le jour de la CRPC.

Mon avo­cat m’a conseillé de refu­ser la CRPC et d’al­ler au pénal, il m’a bien expli­qué que c’est un ‘plai­dé cou­pable’ à la fran­çaise et que c’est comme si je recon­nais­sais ce qui m’é­tait repro­ché, mais quand j’ai vu le mon­tant du devis, j’ai pré­fé­ré aller à la CRPC et voir ce que j’al­lais prendre.

Hon­nê­te­ment je me voyais repar­tir avec une sorte de rap­pel à la loi.

Le jour de la CRPC j’ap­prends que le pro­cu­reur veut me col­ler une amende et du sur­sis. Ouch…

Alors le pas­sage devant le pro­cu­reur à juste était le moment le plus frus­trant, j’a­vais en face de moi un homme ayant le pou­voir de me plom­ber et qui avan­çait des argu­ments et com­pa­rai­sons com­plè­te­ment far­fe­lus, et je ne pou­vais pas me ris­quer à le remettre dans le droit che­min sans ris­quer ma peine.

Il com­pa­rait le fait que je montre des tech­niques de hacking au fait de conduire une voi­ture à 250km/h alors que c’est inter­dit, juste pour mon­trer que cette vitesse peut être atteinte… si on com­pare vrai­ment à mon cas, si c’est fai­sable en allant sur un cir­cuit comme moi j’ai fait mes démons­tra­tions sur un labo­ra­toire pri­vé.

Ensuite il a com­pa­ré ça avec des his­toires de pédo­phi­lie com­plè­te­ment dépla­cées… sérieu­se­ment c’est là que j’ai com­pris qu’il était 100 % à côté de la plaque sur mon cas.

Mais encore une fois, je n’ai pas vou­lu ris­qué de lui dire ses quatre véri­tés de crainte de me prendre une condam­na­tion bien salé.

Mon avo­cat a tout de même pu m’é­vi­ter le sur­sis ain­si que l’ins­crip­tion au casier judi­ciaire. Mais j’ai quand même pris 750 euros d’a­mende !

For­cé­ment j’ai accep­té étant don­né que c’é­tait moins oné­reux que de payer l’a­vo­cat pour aller au pénal, der­rière j’ai ma femme et mon bébé aux­quels je dois sub­ve­nir, et je n’ai pas un salaire de ministre, donc le choix était fait, quitte à endos­ser ces accu­sa­tions mal-fon­dées.

Fina­le­ment.

J’espère en tout cas que cette his­toire pour­ra ser­vir à d’autres, si j’a­vais su que la com­mu­nau­té allait rebon­dir avec autant de vigueur sur cette his­toire, j’au­rais cer­tai­ne­ment essayé de m’y prendre autre­ment en sachant que j’au­rais eu un sou­tien de poids.

Bonus :)

Encore une belle anec­dote concer­nant l’ad­mi­nis­tra­tion fran­çaise : lorsque je suis pas­sé devant la juge qui a vali­dé la peine pro­po­sée par le pro­cu­reur, elle (la juge) m’a bien signi­fié que je pou­vais aller régler l’a­mende dés le len­de­main au Tré­sor public, que si je payé dans le mois je pour­rais béné­fi­cier de 20% de rabais, et que c’é­tait valable même si je payé en plu­sieurs fois.

Et devi­nez quoi, je me suis pré­sen­ter pour régler l’a­mende une semaine après en me disant que j’al­lais pou­voir en finir avec tout ça et éche­lon­ner les paie­ments (adieu vacances d’é­té 2015 au pas­sage), eh bien non, j’ai appris qu’il fal­lait que j’at­tende de rece­voir un papier (la déci­sion du juge ou un truc dans le genre) et que les 20% n’é­taient pas appli­cables si je payais en plu­sieurs fois.

Car, ah oui j’ai oublié de le men­tion­ner, il faut ajou­ter 127 euros pour les frais de dos­sier.

Donc un total de 877 euros, moins 20 % ça réduit à 701,60 euros, ce n’est pas rien.

Du coup voi­là encore un exemple fabu­leux, la juge affirme des choses qui s’a­vèrent fausses à l’autre bout, et le pire dans tout ça c’est que j’ai bouf­fé une RTT pour m’y rendre, y a de quoi avoir la rage !

Si quel­qu’un connaît le fin mot de ce sys­tème, ça m’intéresse de le savoir.