J’étais aujourd’hui sur le parvis de l’Hôtel de Ville de Paris pour voir le passage de la flamme olympique. La foule était dense et pleine de choupinous, le soleil irradiait. Il y avait beaucoup de petits drapeaux à la main, principalement des noirs avec des menottes et d’autres aux couleurs du Tibet. Puis, il y a avait aussi des drapeaux, en nombre bien moindre, que je ne connaissais pas, des bleus avec écrit “Samsung”.
Ah ? Ne voulant pas être en retard d’une cause en faveur de la démocratie et de la liberté, j’ai alors crié :
“Libérez le Samsung ! Libérez le Samsung !”
“Vive le Samsung libre !”
Mais, les gens se sont retournés en me regardant grave bizarre, alors, j’ai cessé ma manifestation de protestation pour le Samsung libre et je me suis éloigné un peu.
Nous avons attendu, et encore attendu. Pour me distraire, j’admirai les forces de l’ordre…
Et puis une rumeur a parcouru la foule… La tension est immédiatement montée d’un cran. Des autobus sont passés à toute vitesse, puis est arrivé un char comme on en voit à la Gay Pride, et même que ça devait être un char lesbien parce qu’il y avait plein de filles dessus. Étrangement, il y avait écrit “Samsung” en gros dessus le camion.
La foule a grondé “houhou”. Des cris ont fusé :
“Salopes !”, “Collabos !”, “Tondez-les !”…
Et puis un slogan a surgi, repris par la foule ivre de colère, des centaines de personnes hurlant :
“Samsung, la honte ! Samsung, la honte !”
Puis, “Samsung, vendus !”, “Samsung, vendus !”
J’ai trouvé que c’était beau et émouvant toute cette foule reprenant un slogan politique.
À côté de moi, il y avait un couple de retraités qui pérorait : “C’est une honte, regardez-moi ça, pauvre France”. Le fond de l’air était quand même un peu frisquet. In petto, j’ai pensé que ce serait bien une canicule cet été, qu’il y avait trop longtemps qu’on en avait pas eu une.
Et puis après, plus rien, la flamme, elle est pas passée.
—
[Photo AFP.]
Vous avez raté le passage de la flamme olympique, symbole inventé pour les JO de Berlin en 1936 ?
La flamme olympique, vue par Rue89.
La flamme olympique, vue par l’Équipe.
La flamme olympique, vue par LCI.
La flamme olympique, vue par La Télé Libre.
Maintenant, nous passons la flamme à San Francisco, à eux de faire mieux.
[Ce billet n’est pas sponsorisé par Samsung, contrairement à ceux de certains blogueurs.]
Le n°1 des annonces de ventes immobilières entre particuliers sur Internet, entend ce jour déposer une plainte contre X, pour faux et usage de faux.
Le tribunal de Grande Instance de Nanterre, prendra en charge le dossier concernant l’atteinte volontaire aux données d’un système informatisé, la complicité et l’association de malfaiteurs informatiques.
Selon un communiqué, la société était accusée par des internautes malveillants, de dévoiler les données bancaires de ses clients et d’être défaillante quant à la capacité d’en assurer la protection et la confidentialité. Ces fausses informations, jugées « mensongères », sont démenties par la compagnie.
Par ailleurs, Entreparticuliers.com rappelle et confirme à ses clients, que les flux de données échangés sur son site Internet lors de transactions commerciales sont confidentiels et protégés.
[Le Figaro : “Entreparticuliers.com a recours à la justice”.]
Tag : entreparticuliers.
—
E-juristes.org : “Les atteintes aux systèmes informatisés de données”.
Et pour ceux qui n’ont pas de mémoire, affaire “société Tati contre Antoine Champagne”, arrêt de la 12e chambre, section A, de la Cour d’appel de Paris, en date du 30 octobre 2002.
Considérant que, comme l’appelant le soutient à bon droit dans ses réquisitions écrites d’appel aux fins de relaxe, il ne peut être reproché à un internaute d’accéder aux, ou de se maintenir dans les parties des sites qui peuvent être atteintes par la simple utilisation d’un logiciel grand public de navigation, ces parties de site, qui ne font par définition l’objet d’aucune protection de la part de l’exploitant du site ou de son prestataire de services, devant être réputées non confidentielles à défaut de toute indication contraire et de tout obstacle à l’accès; que même s’agissant de données nominatives, l’internaute y accédant dans de telles conditions ne peut inférer de leur seule nature qu’elles ne sont pas publiées avec l’accord des intéressés, et ne peut dès lors être considéré comme ayant accédé ou s’étant maintenu frauduleusement dans cette partie du système automatisé de traitement de données, la détermination du caractère confidentiel (en l’espèce non discuté mais qui n’a donné lieu à aucune utilisation en pratique préjudiciable) et des mesures nécessaires à l’indication et à la protection de cette confidentialité relevant de l’initiative de l’exploitant du site ou de son mandataire; que dès lors les accès et maintien d’Antoine CHAMPAGNE dans des parties nominatives du site TATI ne peuvent être qualifiés de frauduleux, et qu’il convient de déclarer le prévenu non coupable des faits qui lui sont reprochés et de le renvoyer des fins de la poursuite;
PAR CES MOTIFS
LA COUR,
Statuant publiquement et contradictoirement,
Reçoit le Ministère Public en son appel,
Réformant le jugement,
Déclare Antoine CHAMPAGNE non coupable des faits visés à la prévention et le renvoie des fins de la poursuite,
Reçoit la Société TATI en sa constitution de partie civile, mais la trouve mal fondée en ses demandes, et l’en déboute.
—
En tout état de cause, je réitère mes informations comme quoi :
- Contrairement aux allégations “contre X” publiées par le site Boursier.com, ma copie d’écran n’est pas un “faux grossier”. Il s’agit d’une vraie copie d’écran réalisée le 22 mars, avec masquage par mes soins de ce qui semble être des numéros de cartes bancaires, afin de ne causer nul préjudice aux éventuels détenteurs des sus-dites cartes. J’ai réalisé une copie d’écran similaire, hier, le 6 avril, par les mêmes moyens.
- Je ne sais pas s’il s’agit vraiment de numéros de cartes bancaires de clients de la société. Je tiens à disposition de la justice et du Groupement des Cartes Bancaires CB mes données afin de le vérifier.
- Sans preuve formelle, je suis cependant porté à croire qu’Entreparticuliers.com “dévoilerait les données bancaires de ses clients et serait défaillante quant à la capacité d’en assurer la protection et la confidentialité”.
- Si, après vérification, les numéros de cartes bancaires (avec date de validité et code de sécurité) correspondent effectivement à des cartes bancaires émises, la société Entreparticuliers.com est coupable de mensonge en déclarant que “les flux de données échangés sur son site Internet lors de transactions commerciales sont confidentiels et protégés, le système d’information du site www.entreparticuliers.com étant parfaitement sécurisé, conformément à la norme.”
- Je n’ai pratiqué, en l’occurence, aucune atteinte volontaire aux données d’un système informatisé.
- Je ne suis aucunement complice ou associé de malfaiteurs, ni ai participé à une “attaque concertée”. Je ne connais personnellement aucune des personnes qui ont relayé l’information.
- S’il s’avère que la faille ait réellement existé, je pense qu’il eût été plus raisonnable de la traiter que de fanfaronner par communiqués de presse. L’article de Boursier.com date du 5 avril ; le 6 avril, j’avais toujours accès à ce qui ressemble fortement à un fichier de numéros de cartes bancaires, et ce via un simple lien, sans mot de passe, sans cryptage, sans aucune sécurisation. (En connaissance des faits, préférer une action en justice à la correction d’une faille majeure de sécurité, ce serait vraiment dramatique…)
Enfin, pour information, l’affirmation “Le n°1 des annonces de ventes immobilières entre particuliers sur Internet” relayée sans vérification par le journaliste du Figaro.fr, fait l’objet d’une poursuite judiciaire par “De particulier à particulier”, selon son PDG, madame Catherine Jolly.
—
Post-scriptum, 8 avril.
Le danger était d’autant plus important que la faille pouvait être exploitée à partir d’un simple navigateur, en saisissant une adresse spéciale. Le blogueur Arnaud Jeulin avait tiré la sonnette d’alarme, il y a plusieurs semaines déjà, en publiant sur son site une capture d’écran d’Entreparticuliers.com sur laquelle figuraient des informations relatives aux clients (les données bancaires étant volontairement cachées). Il avait également informé les responsables du service de sa découverte.
Malheureusement, ces derniers n’y ont pas cru. « Dès que nous avons aperçu ce document, confie Stéphane Romanyszyn, PDG d’Entreparticuliers.com, nous avons pensé à un faux. Une plainte a été déposée le 7 avril auprès du parquet de Nanterre », pour atteinte volontaire aux données d’un système informatisé, complicité et association de malfaiteurs informatiques, faux et usages de faux.
Une peine de 5 ans de prison
Dans un communiqué de presse publié le 4 avril dernier, le site faisait état d’une campagne de dénigrement orchestrée par plusieurs blogueurs, qui laisse « croire qu’Entreparticuliers.com dévoilerait les données bancaires de ses clients et serait défaillante quant à la capacité d’en assurer la protection et la confidentialité ».
Il aura fallu attendre ce lundi pour que le site reconnaisse son erreur et colmate la faille affectant ses serveurs. Pour sa défense, le PDG explique que sa société est régulièrement la cible de chantages de la part d’inconnus qui signalent d’hypothétiques problèmes de sécurité. « Nous avions bien reçu des courriers. Certains nous réclamaient de l’argent pour nous permettre de corriger. Nous ne répondons pas à ce type de chantage », se défend Stéphane Romanyszyn.
Une attitude un peu légère quand on sait que les responsables de la société risquent une peine de 5 ans d’emprisonnement et 300 000 euros d’amende pour ne pas avoir pris toutes les précautions afin de protéger les données de leurs clients. C’est le tarif prévu par l’article 34 de la Loi informatique et libertés. Les pirates, eux, risquent 5 ans d’emprisonnement et 382 000 euros d’amende.
[01net.com : “Données bancaires en accès libre sur entreparticuliers.com”.]
—
Post-scriptum, 10 avril.
Ce contact téléphonique a donc permis à Stéphane Romanyszyn de découvrir que les captures écrans réalisées par un blogueur, elles affichaient des données bancaires diffusées par le site entreparticuliers.com, n’étaient pas des faux. Il n’a jamais reconnu la faille ? Pourquoi alors la page result.asp a été corrigée depuis ? La variable baptisée ’rub’ a disparu comme le prouve la page erreur qui s’affiche à la place.
L’appel téléphonique a apporté la preuve que des informations bancaires étaient bien visibles à partir du site entreparticuliers.com. Et pourtant, Stéphane Romanyszyn indique à rue89 qu’il n’a pas “reconnu la faille (…) et se réserve le droit de poursuivre le journaliste qui l’avait cité dans son article (…) Les données bancaires de nos clients, qui sont sur nos serveurs et pas en ligne, sont en cours de cryptage”.
[…] Bref, je persiste et je signe. Stéphane Romanyszyn a reconnu la faille, il l’avait devant les yeux. A demandé comment cela était possible et s’est même posé la question à savoir si cela n’avait pas été orchestrée de l’intérieur de son entreprise. Une hypothèse qu’il a lui même évoqué parlant d’un ancien employé parti depuis. Le PDG estime avoir “affaire à un complot”. Aucun complot, juste une faille SQL Injection.
[Zataz.com, Damien Bancal : “Des données bancaires se logaient sur le site entreparticuliers.com”.]
Ouinon
Il existe même des jeux islamiques
Blah ? Touitter !