"La magie, c'est que tout cela est réalisable sans aucune action pénalement répréhensible", s'était réjoui auprès du Monde l'internaute qui avait découvert et permis en 2012 l'exploitation d'une faille XSS sur le blog de Rachida Rati. Deux ans plus tard, force est de constater que ce n'est pas l'avis du procureur de Paris, qui se montre d'une sévérité à peine croyable.
Le quotidien du soir raconte en effet que le représentant du ministère public a requis rien moins que trois mois de prison avec sursis contre l'un des deux prévenus, accusé d'avoir créé un site internet (Tweetpop.fr, aujourd'hui inactif) qui exploitait la faille XSS. Le site permettait aux internautes de diffuser n'importe quel message en donnant l'illusion qu'il provenait effectivement du site officiel de l'ancienne garde des Sceaux, sans avoir à pirater les bases de données ou le code source du blog. Grâce à la faille, il suffisait de glisser les paramètres dans l'URL du site avec le contenu voulu pour que celui-ci apparaisse aux yeux de l'internaute comme s'il venait effectivement du site officiel.
Seuls ceux qui utilisaient une URL ainsi modifiée pour accéder au site de Rachida Dati voyaient le contenu potache, à l'instar du faux communiqué de candidature aux municipales publié par un militant écologiste. Il suffisait de corriger la faille pour mettre fin immédiatement à la blague. Mais des poursuites avaient été engagées.
Selon le rapport que fait Le Monde de l'audience, le président du tribunal a d'abord déploré "l'humour stupide" des prévenus, en affirmant qu'exploiter ainsi une faille technique "ne fait rire personne". Le procureur, lui, a demandé que soient retenus deux chefs d'accusation : introduction frauduleuse de données dans un système de traitement automatisé (article 323-3 du code pénal), et usurpation d'identité. Il réclame trois mois de prison avec sursis, pour bien manifester le caractère exemplaire de la sentence demandée.
Ce dernier délit, dont l'écriture très vague n'avait pas été soumise au contrôle constitutionnel, punit le fait "de faire usage d'une ou plusieurs données de toute nature permettant de l'identifier en vue de troubler sa tranquillité ou celle d'autrui, ou de porter atteinte à son honneur ou à sa considération". En l'espèce, Tweetpop ne faisait pas disparaître les noms ou photo de Rachida Dati, et modifiait même le logo du groupe politique de l'eurodéputée, pour remplacer "PPE" par "PIPE", en référence à son laspsus sur l'inflation.
L'audience a été mise en délibéré au 18 décembre.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !