Vous vous souvenez de Rachida Dati ? Moi à peine, si ce n’est pour ses lapsus. M’enfin peu importe puisque je suis certain que vous vous souvenez du site Tweetpop.fr qui permettait de générer de faux communiqués sur le site de Dati.
Comment ça fonctionnait ? Et bien parce que la dame, enfin plutôt ses développeurs, ont fait preuve de négligence en terme de sécurité, il y avait sur le site une faille XSS qui permettait simplement en entrant des conneries dans l’URL, d’afficher ces mêmes conneries sur le site.
Cela a donné lieu à des tonnes de blagues potaches, surtout après la mise en ligne de Tweetpop.fr qui facilitait cela.
Pour être totalement clair, ce service ne permettait pas de pirater le site de Dati, ni d’en modifier les bases et il n’y avait aucune intrusion de quelque sorte que ce soit. Tout se passait en local sur le navigateur de celui qui cliquait sur ces liens.
Image : Génération NT
De plus, les fake générés n’étaient pas visibles de tous. Il fallait s’échanger les liens pour profiter de la blague. Malheureusement pour les 2 auteurs de ce coup de génie, il y a eu plainte et le procureur demande 3 mois de prison avec sursis pour « intrusion frauduleuse de données dans un système de traitement automatisé » et « usurpation d’identité« .
Seulement, voilà. Il n’y a pas eu d’intrusion frauduleuse de quelque nature que ce soit. Et en ce qui concerne l’usurpation d’identité, la définition est assez vague puisque cela consiste à, je cite « faire usage d’une ou plusieurs données de toute nature permettant de l’identifier en vue de troubler sa tranquillité ou celle d’autrui, ou de porter atteinte à son honneur ou à sa considération »
Alors oui y’avait la tête de Dati sur le site. Mais son logo avait été remplacé par un autre logo « humoristique ». C’était de l’ordre du pastiche. S’il y a eu atteinte à l’honneur, c’est par ceux qui ont utilisé le service Tweetpop pour écrire leur prose plus ou moins délicate. De plus, les modifications étant uniquement en local (et pas sur le serveur de Dati), personne ne pouvait tomber dessus, même par hasard. Il fallait pour cela que l’auteur partage le lien avec son cercle plus ou moins étendu d’amis.
C’est un peu comme si un tribunal attaquait Adobe parce que j’ai utilisé Photoshop pour modifier une photo officielle d’un homme ou d’une femme politique et que j’avais partagé ce pastiche sur Twitter.
Mais que voulez-vous ? Le Président du Tribunal a estimé que leur humour était « stupide » et que l’exploitation de cette faille « n’avait fait rire personne ». Je ne suis pas d’accord avec lui, mais peu importe, je ne crois pas qu’avoir un humour qui ne colle pas avec celui d’un Président de Tribunal soit pour le moment un délit. (Ou alors, je n’ai pas reçu le mémo).
À mon avis, ceux qui ont le dossier entre les mains foncent tête baissée sans se poser les bonnes questions. Ils réagissent à chaud et comme il n’y a rien dans la loi qui permette de condamner les auteurs de Tweetspop, ils nagent en eaux troubles sur ces histoires bidons « d’usurpation d’identité » et « d’intrusion frauduleuse de je sais pas quoi dans je sais pas quoi ».
Bref, on verra si ça passe.
Suite de cette aventure le 18 décembre.