C’est une bien triste histoire : Tati.fr ne savait pas s’occuper de son serveur web. Tati.fr publiait sans le savoir les informations privées des internautes qui lui faisaient confiance. Kitetoa.com a découvert la bourde, et l’a signalé à Tati.fr. Peu concerné, Tati.fr n’a rien fait pour la corriger pendant un an. Jusqu’à ce que la presse parle de l’affaire, et tourne Tati.fr en dérision. Aujourd’hui, le jugement est rendu : Kitetoa.com est condamné. Pitoyable.
Mal configuré, le site web de Tati.fr laissait de nombreux documents privés en libre accès, dont la base de données de ses 4200 internautes réguliers. Des informations telles que leur nom, leur état civil, leur adresse ou leur préférences étaient disponibles pour quiconque « armé » d’un vulgaire navigateur web standard.Et dans cette histoire, « quiconque » est le site de passionnés Kitetoa.com . Ces empêcheurs de se prendre au sérieux en rond s’intéressent à l’état des serveurs des autres. Pas en tant que pirates, mais plutôt comme usagers avisés. Armé d’un simple navigateur, Kitetoa explore les sites des grands noms sur le web, et met le doigt sur leur incompétence. Avec pour bâton de pèlerin la loi du 6 janvier 1978, qui impose aux entreprises de protéger l’accès aux fichiers nominatifs qu’elles se constituent, l’équipe de Kitetoa.com s’amuse à désigner ceux qui échouent lamentablement dans cette obligation et exhibent leurs bases de données.En 2000, Tati.fr était donc de ceux-là. Il l’était d’ailleurs aussi l’an passé, lors de la première visite des trublions de Kitetoa. A l’époque, les administrateurs du serveur n’avaient ni répondu aux emails de l’équipe, ni corrigé la faille.Mais cette fois-ci, c’est carrément une base de données des utilisateurs enregistrés qui est disponible au téléchargement. A nouveau contacté, l’hébergeur se décide à réagir et corrige partiellement la faille, après avoir demandé conseil à l’équipe de Kitetoa. Il ira même jusqu’à les remercier, mais ne poussera pas jusqu’à prévenir Tati de la bourde. On le comprend : en réalité la faille existe toujours, l’hébergeur ayant simplement déplacé la base de donnée. Une vieille astuce bien connue des ménagères qui cachent la poussière sous le tapis.Quinze jours après cet incident, l’histoire prend un tour ironique : Tati publie un impressionnant (ils le sont tous) communiqué de presse, afin d’annoncer que son système d’information sera sécurisé par la SSII Global Control (aujourd’hui filiale du groupe Thalès Secure Solutions).Kitetoa revient illico sur le site de la chaîne de magasins et constate une nouvelle faiblesse. Ils publient une version commentée du communiqué de presse, et un lien vers une page privée librement accessible. Rapportée par le magazine Newbiz, l’affaire n’est pas au goût du PDG de Tati. Il faut dire, pour sa défense, que le journaliste a recourt à de drôles de méthodes pour relater l’histoire. Après avoir déchiffré une adresse email sur les captures d’écrans publiées par Kitetoa (et volontairement masquées), il a pris contact avec l’internaute concerné, et extrait quelques passages de sa vie privée sur le web. Peut-être dans l’espoir de prouver par l’exemple le danger posé par ces bases de données mal protégées. Après tout, l’enfer aussi est pavé de bonnes intentions.La suite de l’histoire est un classique : le PDG des magasins Tati dépose plainte contre X, et Antoine Champagne, le webmaster de Kitetoa, est convoqué devant la justice quelques mois plus tard.Aujourd’hui, le verdict est rendu : Kitetoa est condamné à 1000 euros d’amende avec un sursis de cinq ans.Il reste que la décision du tribunal demeure étonnante. Selon Antoine Champagne, aussi bien le Président du tribunal correctionnel que le Procureur étaient techniquement compétents (c’est rare, NdlR) et, surtout, comprenaient parfaitement l’incohérence de la démarche de Tati. Ainsi, pour le Procureur , « l’infraction n’est pas constituée ». Difficile dans ces conditions de comprendre pourquoi ce même tribunal a condamné Antoine Champagne, même avec sursis.Kitetoa n’a procédé à aucune intrusion, se contentant de visualiser des fichiers accessibles à tous, sans les exploiter ni même les dérober. De l’aveux même du Procureur « marcher dans une rue et regarder par la fenêtre ouverte d’un appartement ne constitue pas un délit, même si je trouve la décoration de mauvais goût et que je le fais savoir à l’habitant ». On ne pouvait pas mieux dire.En outre, Kitetoa à fait preuve de bonne foi en indiquant la faille. Mieux, l’équipe était au courant, par l’intermédiaire d’un internaute, d’une faille plus importante, qui permettait de modifier les prix de n’importe quel voyage vendu sur le site par Tati Voyage. Bien placés pour connaître le manque de réactivité de l’hébergeur du site, ils ne l’ont jamais publiée, lui évitant d’être exploitée à outrance.Tati, en revanche, était dans une situation clairement illégale au regard de la loi du 6 janvier 1978. Ce qui ne l’a pas empêché hélas d’attaquer Kitetoa, plutôt que de se retourner contre son ex-hébergeur. Le tribunal a cependant débouté la chaîne de magasins de sa demande du franc symbolique en dommages et intérêts et de la publication du jugement dans la presse. Une bien maigre consolation pour Antoine Champagne, qui attend aujourd’hui de connaître les délibérations du tribunal pour comprendre sa condamnation.Mais cela ne changera à priori rien pour Kitetoa.com : le site est désormais à la croisée des chemins. Pour son webmaster, il n’est pas exclu qu’il soit cédé ou disparaisse. Le sursis de cinq ans, en effet, met Kitetoa.com à la merci de n’importe quelle nouvelle action en justice.Ce serait une triste nouvelle pour tous ceux qui croient encore qu’Internet n’est pas qu’un simple Eldorado de vendeurs et de SSII techniquement incompétentes.Plus d’infos : Kitetoa publiera bientôt un résumé de l’audience.