Credit "Descrier" with URL descrier.co.uk

Quand modifier le texte de la barre d’adresse (affichée par votre fureteur) fait de vous un pirate informatique

Je viens de prendre connaissance d’une affaire en cours en Nouvelle-Écosse qui a eu peu de visibilité ici. Il s’agit d’une affaire intéressante de piratage informatique allégué qui vaut certainement une petite lecture!

Cette histoire en est une d’allégation de piratage de renseignements personnels détenus par un gouvernement provincial. Comme c’est souvent le cas, l’accusé est un adolescent qui aurait « pénétré » dans un système gouvernemental pour mettre le grappin sur les renseignements de tout un lot de citoyens. Arrêté chez lui, le mécréant est accusé d’utilisation non autorisée d’un ordinateur en vertu du Code criminel. Typique, non? Eh bien non, justement.

Dans la réalité, selon toute vraisemblance, l’affaire en question découle en fait d’une bourde du gouvernement de la Nouvelle-Écosse, bourde pour laquelle un jeune geek sans histoire paie actuellement le prix.

La réalité, c’est que l’accusé ici a accédé légalement au site gouvernemental des demandes d’accès à l’information, sans plus. Il télécharge alors (par un moyen technique requérant une seule ligne de code, pour se faciliter la vie) une série de fichiers disponibles sur le serveur sans protection, aucune authentification ni aucun mot de passe n’étant alors requis pour ce faire. C’est de ce téléchargement que se plaint maintenant le gouvernement. Oui, vraiment.

L’explication de cette anomalie réside dans la piètre configuration du serveur de ce site gouvernemental, lequel permettait à quiconque d’accéder librement à toutes les données en question et de les télécharger. L’argument du gouvernement : nous ne voulions pas que les gens aient accès à ces données précises, voilà pourquoi nous n’avions pas créé de liens ou de pages y référant directement sur notre site. L’adolescent a osé farfouiller dans les pages Web de notre site – c’est du piratage, de dire en somme le gouvernement. Oui, cette information avait été placée sur notre site de façon non sécurisée, mais nous ne voulions pas vraiment que les gens y accèdent. L’accusé l’a fait, c’est donc un pirate informatique. Hum! Hum!

Dans les faits, sur le plan technique, selon ce que je lis ailleurs, il semblerait que ce qu’a fait le « pirate » est simplement de modifier le texte apparaissant dans la barre d’adresse de son fureteur. Selon cette logique, si vous accédez à la page Web http://www.example.ca/chats/, que vous remplacez le mot « chats » par « chiens » et que par chance cela vous donne accès à du contenu autre, on peut vous faire accuser au criminel.

Oui, il semblerait que c’est tout ce qu’il a fallu pour accéder aux données en question. Pire encore qu’une telle absence de sécurité, une fois que c’est survenu, ce qu’a trouvé de mieux à faire le gouvernement, c’est de faire accuser le premier individu un tant soit peu ingénieux qui l’a fait, en prétendant que son comportement se qualifie « d’utilisation non autorisée » du serveur.

Question de faire une analogie, si j’affirme publiquement que j’ai glissé un billet de 100$ entre deux pages d’un livre de la bibliothèque municipale, puis-je réellement me plaindre de vol si un citoyen ingénieux le cherche en feuilletant tous les livres, le trouve, puis l’empoche? Non, évidemment.

L’accusé est désormais défendu par Me David Fraser, lequel se dit sûr que les accusations contre son client seront retirées.

Si on retire effectivement les accusations, j’ose espérer que le gouvernement aura la décence de s’excuser, compte tenu de son excès flagrant de mauvaise foi intellectuelle jusqu’ici!