Un jugement de la cour inquiétant pour les internautes

Par Mongole à batteries le 19/12/2002 à 15:51:10 (#2831902)

Ca se passe a Montreal, Quebec, mais ca pourrait bien se produire ailleurs...Je sais ca l'air long, mais prenez le temps de lire.

Je viens de vivre une histoire inquiétante que je me dois de vous raconter. Dans un jugement rendu vendredi dernier au palais de justice de Montréal (jétais dans la salle) par le juge René Roy, de la Cour du Québec, il a été statué que le lien de confidentialité entre le fournisseur de services Internet et son client internaute pouvait être rompu à linsu de ce dernier, sans aucun dédommagement ni pénalité possibles.

Le plaignant, un éditeur montréalais de magazine Web, se voyait débouté en quelques minutes dans un jugement lapidaire rendu sur le banc. Il avait pourtant fait reconnaître par la cour que son fournisseur de services Internet avait transmis de linfo stratégique le concernant à une tierce partie, en loccurrence un commerçant avec qui lui, léditeur, était en conflit. On parle ici de son mot de passe, de son nom dusager et de ladresse IP fixe (hum !) utilisée par son ordi pour se connecter à Internet.

Divulgation illicite dinformation

Or, curieusement, divers désagréments (vandalisme sur le site Web de léditeur, usurpation didentité, etc.) sont survenus peu après cette divulgation illicite dinformation confidentielle. Voilà pourquoi léditeur décidait dengager une poursuite en dommages contre son fournisseur dont il était convaincu de la responsabilité et des agissements malveillants. La divulgation illicite fut dailleurs admise en cour; elle fut cependant présentée comme procédure administrative utilisée normalement par le fournisseur.

Personnellement, jai eu lhonneur de présenter à la cour les tenants et les aboutissants dun tel geste et den faire valoir les conséquences. Grosso modo, ai-je expliqué, si Jean dispose de ladresse de courriel, du nom dusager et du mot de passe de son ennemi Pierre, il peut se connecter à sa place dans le Net. Dès lors, Jean peut prendre connaissance du courriel de Pierre, il peut y répondre sans que ce dernier ne le sache, il peut même aller bricoler le site Web de Pierre et y foutre la pagaille en sy connectant bêtement par lien FTP, et ainsi de suite.

Si ladresse de courriel est publique, les mot de passe et nom dusager sont par contre de nature confidentielle. Pour les obtenir illicitement, il faut les «hacker» à défaut de se les faire remettre sous la table par le fournisseur de services. Cest quen vertu du contrat le liant à son client, le fournisseur est tenu de maintenir cette information secrète. Cest exactement comme un directeur de banque envers le profil financier de son client hypothécaire ou un médecin envers le dossier médical de son patient. Sinon, cest le bordel!

Dans le cas qui nous occupe, le fournisseur a en outre admis avoir révélé au commerçant ladresse IP fixe de léditeur, cela en catimini, alors que ce dernier se croyait toujours «protégé» par une adresse IP dynamique (une adresse qui change à chaque connexion). Heureusement, léditeur utilisait un Mac au moment des attaques, un ordi réputé «incraquable»; les dommages à son ordi ont été minimes. Soulignons quil en aurait été autrement, eut-il utilisé un PC sous Windows. Nimporte quel hacker ou cracker débutant connaît ce fait et sait où trouver gratuitement les logiciels nécessaires.

Être le méchant: un avantage

Ce qui nest pas le cas du juge Roy. Ce dernier a plutôt exigé quon lui présente lévaluation exacte des dommages encourus. Le problème, cest que le site Web vandalisé comptait plus de 85 000 objets (textes, images, etc.).

Léditeur a eu beau produire à la cour quelques exemples de fichiers graphiques rendus inutilisables, il na pas réussi à préciser le nombre exact pouvant être dans cette situation à la suite des agissements du fournisseur. Pour le savoir, il lui aurait fallu vérifier et documenter chaque objet, un travail de bénédictin impossible à accomplir dans les délais impartis.

Le juge Roy a donc rejeté la cause, apparemment furieux quon lait dérangé pour si peu. Cela, malgré ladmission du fournisseur de son coulage dinformation.

La morale? La violation de confidentialité nest pas une faute que la société doit punir et, si vous en êtes victime, documentez lacte perpétré très minutieusement avant dessayer davoir justice ou réparation. Car dans ce système, le méchant semble avantagé!

Source : Canoe

Pour ceux qui ont lu jusqu'au bout, qu'en pensez-vous? Moi je trouve scandaleux que le dit Hacker s'en sorte haut la main et presque gagnant, surtout que le fournisseur Internet a bien avouer avoir donné des infos confidentiel. C'est presque dire au Hackeur "vous pouvez y aller, y'a pas de probleme".

Pfff...

Par Vaire le 19/12/2002 à 15:56:19 (#2831947)

D'accord avec toi

Par Coin-coin le Canapin le 19/12/2002 à 15:57:02 (#2831949)

c'est toujours difficile de juger en ne connaissant qu'une version des faits.

Par Mongole à batteries le 19/12/2002 à 16:05:43 (#2832006)

Provient du message de Coin-coin le Canapin
c'est toujours difficile de juger en ne connaissant qu'une version des faits.

Mais ici ce n'est pas seulement ca, le fournisseur Internet a AVOUER avoir donner le nom d'usager, le mot de passe et l'adresse IP de la personne au dit Hackeur, et les attaque sur le site sont survenu quelque temps apres cela. Juste parce que le Webmestre n'avait pas repertorié 1 a 1 les plus de 85000 objet composant le site et ne pouvait pas fournir le nombre exact d'objet endommagé, la cause est rejeté.

Au moins le fournisseur aurait du etre coupable. On ne donne pas des infos comme ca. Enfin, soyer prudent maintenant!

Par FautVoir le 19/12/2002 à 16:30:06 (#2832190)

C'est un mail envoyé par un lecteur du site, c'est ça ? Ca paraît un peu simplifié, quand même. Et il n'y a pas de procédure en appel, chez vous ? Parce qu'un premier jugement est rarement la fin d'un procès.

Par Mongole à batteries le 19/12/2002 à 16:32:45 (#2832218)

Provient du message de FautVoir
C'est un mail envoyé par un lecteur du site, c'est ça ? Ca paraît un peu simplifié, quand même. Et il n'y a pas de procédure en appel, chez vous ? Parce qu'un premier jugement est rarement la fin d'un procès.

Non lit comme il le faut. C'est un journaliste informatique qui a assisté a cette cause, et a été appellé a temoigner comme il le mentionne : "Personnellement, jai eu lhonneur de présenter à la cour les tenants et les aboutissants dun tel geste et den faire valoir les conséquences. "



:)

Par FautVoir le 19/12/2002 à 16:42:45 (#2832307)

Non lit comme il le faut. C'est un journaliste informatique qui a assisté a cette cause, et a été appellé a temoigner comme il le mentionne : "Personnellement, j’ai eu l’honneur de présenter à la cour les tenants et les aboutissants d’un tel geste et d’en faire valoir les conséquences. "

Ben justement, j'ai bien lu et je ne vois nulle part qu'il s'agit d'un journaliste. D'ailleurs, je n'ai jamais vu un journaliste commencer un article par "Je viens de vivre une histoire inquiétante que je me dois de vous raconter , ce qui ressemble plutôt à du blabla de forum. Ce ne serait pas un consultant, plutôt ? Embauché par le plaignant ?

Par LoneCat le 19/12/2002 à 16:51:25 (#2832371)

Ca laisse aussi à penser que le plaignant avait un mauvais avocat. On ne connait pas la législation Québequoise en la matière, donc c'est dur de donner un avis.

Tout dépend aussi du motif pour lequel le plaignant à attaqué son ISP. Son ISP a avoué avoir transmis l'IP, le login et le password (si j'ai bien compris), ce qui est TRES mal et va faire une super publicité audit ISP. On ne sait pas dans quelle circonstance des données ont été fournies, mais j'ai du mal à croire qu'elles l'aient été comme ça sans raison ni contrôle.

Ensuite ce n'est pas pour autant l'ISP qui aurait hacker le site, et enfin, pour demander réparation, encore faut-il prouver qu'il y a un dommage. Apparemment, le plaignant n'a pas été en mesure de prouver le dommage.

Bref: on manque cruellement d'info pour se faire une bonne idée du cas et de la décision. Si tu avais le texte de la décision, ça serait mieux.

Ciao,
LoneCat

Par Little lipo le 19/12/2002 à 17:44:21 (#2832884)

C'est très bien.
De toute façon, vu la diversité des fournisseurs d'accès à Internet et leur nombre, on a le choix..

Par Wadleight le 19/12/2002 à 18:49:25 (#2833461)

Provient du message de Mongole à batteries
Juste parce que le Webmestre n'avait pas repertorié 1 a 1 les plus de 85000 objet composant le site et ne pouvait pas fournir le nombre exact d'objet endommagé, la cause est rejeté.

Faites des sauvegardes de temps en temps, vous aurez l'air moins bête et ça rend les juges zen ;)

Par |< K0nn3k710n >| le 20/12/2002 à 0:28:28 (#2836423)

Le fournisseur est cité ?

Par Pr Jozhef Kelso le 20/12/2002 à 1:54:53 (#2836807)

Cela dit, j'ai l'impression que ce juge René Roy n'en est pas à son premier jugement tres contesté : Leçon d'irresponsabilité

Par LoneCat le 20/12/2002 à 10:41:44 (#2838039)

L'article date du 17 Décembre et le journaliste parle d'une décision datant du Vendredi précédent (dont a priori le 12 Décembre).

Je suis allé voir sur un site internet publiant des décisions des tribunaux Quebecois (pas toutes malheureusement), et je n'ai rien trouvé à cette date qui corresponde à l'article :(

Donc soit la date n'est pas le 12/12 mais antérieure, soit la décision n'est pas disponible sur l'Internet.

On peut noter que le juge René Roy est vice président du Tribunal des Profession de Montréal, mais que selon l'article de Pr Jozhef Kelso, il intervient aussi en appel.

Pas de bol, je n'ai rien trouver en Décembre pour l'Appel ou le Tribunal des professions (rien trouvé non plus au Civil ou Pénal pour un Vendredi). J'arrète là, mais je suis déçu :(

Ciao,
LoneCat