La cour d’appel de Paris a condamné, mercredi 5 février, le journaliste Olivier Laurelli à payer 3 000 euros d’amende pour avoir téléchargé des documents de l’Agence nationale de sécurité sanitaire, de l’alimentation, de l’environnement et du travail (Anses) qu'il avait trouvés sur le moteur de recherche Google.
Les juges sont ainsi allés beaucoup plus loin que le ministère public qui avait requis 2 000 euros d’amende avec sursis lors de son réquisitoire prononcé à l’issue d’un procès marqué par le manque criant de connaissance du dossier par les magistrats. Ce jugement, révélateur d’un déconnexion de la justice vis-à-vis de l’internet, pourrait d’ailleurs ne pas être sans conséquences en raison de l’incertitude juridique qu’il fait peser.
Olivier Laurelli était en effet poursuivi pour « accès frauduleux dans un système de traitement automatisé de données », « maintien frauduleux dans un système » et « vol » de documents après avoir téléchargé des documents trouvés par hasard en effectuant des recherches sur Google. En première instance, en avril 2013, les juges avaient estimé que la présence de ces documents sur le moteur recherche était une erreur de la part de l’Anses et qu’elle leur conférait un caractère public. Ne pouvant donc être coupable d’un « accès frauduleux », l’accusé ne pouvait logiquement être l’auteur d’un « maintien frauduleux » et encore moins « vol ». Il avait en conséquence été relaxé.
Or, dans le jugement rendu ce mercredi, la cour d’appel ne le condamne pas pour « accès frauduleux », mais uniquement pour « maintien frauduleux » et « vol ». Concrètement, cela signifie désormais qu’un journaliste, ou n’importe quel internaute, peut être tenu pour responsable s’il télécharge un document censé être confidentiel, mais placé par erreur dans l’espace public d’un site.
Sur le papier, pourtant, l’affaire est assez simple pour toute personne ayant au moins effectué quelques recherches sur internet. Aucun exploit technique, aucun outil informatique obscur, ou la moindre ligne de codes incompréhensibles pour le néophyte, n’a en effet été nécessaire. Le « pirate », comme l’avait désigné l’un des juges dès la lecture des faits, n’a eu besoin que d’un seul outil, utilisé quotidiennement par des dizaines de millions de personnes : Google.
À l’été 2012, Olivier Laurelli recherche sur internet des documents sur le régime syrien dans le cadre de ses activités que son avocat qualifie de « bénévoles ». Gérant d’une société informatique, il est également un hacker connu et réputé sous le pseudo Bluetouff. Au sein du groupe « Telecomix », il a notamment joué un rôle en Syrie en apportant un soutien technologique aux insurgés, et en dénonçant la surveillance opérée par le régime de Bachar al-Assad. Bluetouff est également l’un des animateurs de Reflets.info, un site d’information alimenté par des hacktivistes et des journalistes à l’origine de nombreuses révélations, notamment sur la collaboration de sociétés françaises telles qu’Amesys ou Qosmos avec les dictatures syrienne ou libyenne.
Ce jour-là, au fil de ses recherches sur le célèbre moteur de recherche, il tombe, par hasard, sur un document de travail de l’Anses. Intrigué, il poursuit et découvre qu’en fait, c’est toute une série de documents qui sont ainsi accessibles. Olivier Laurelli est tout simplement tombé sur « l’extranet » de l’Anses, un réseau utilisé par les chercheurs de l’agence pour échanger leurs travaux et que les services informatiques avaient oublié de sécuriser. Les documents étaient accessibles à partir du moment où l’on avait leurs adresses directes, et celles-ci étaient référencées par Google comme n’importe quel contenu.
En remontant l’arborescence, Bluetouff découvre ensuite que ces documents sont normalement protégés par un identifiant et un mot de passe. Mais, les ayant récupérés sans intrusion, et après avoir constaté qu’il ne s’agissait visiblement pas de documents confidentiels, il décide de télécharger quelque 8 000 fichiers. Dans la foulée, un des rédacteurs de Reflets utilise un de ces documents pour rédiger, au mois d’août, un article consacré aux « nano-argents ».
Ce n’est qu’en découvrant l’article de Reflets que le service informatique de l'Anses prend conscience de la faille de sécurité et contacte la police. L’enquête est confiée à la DCRI. N’ayant pris aucune précaution particulière pour dissimuler son identité, Olivier Laurelli est très vite identifié. Son domicile est perquisitionné, une partie de son matériel informatique saisi, et il effectue 30 heures de garde à vue.
Son procès en première instance se tient en avril 2013 devant le tribunal de grande instance de Créteil. Dans son jugement de relaxe, le tribunal souligne qu’il « n’est pas contesté par l’Anses qu’une défaillance technique existait et que monsieur Olivier Laurelli a pu récupérer l’ensemble des documents sans aucun procédé de type "hacking" ». Par ailleurs, poursuivent les magistrats, Bluetouff était en droit de « légitimement penser que certaines données sur le site nécessitaient un code d’accès et un mot de passe mais que les données informatiques qu’il a récupérées étaient en accès libre et qu’il pouvait parfaitement se maintenir dans le système ». Ce jugement avait été accepté par l’Anses qui, devant les policiers, avait reconnu sa part de responsabilité. Mais le ministère public, bien décidé à ne pas laisser impuni ce « piratage », avait décidé d'interjeter appel.
Mercredi 18 décembre, devant la cour d’appel de Paris, c’est à des magistrats totalement hermétiques à toute notion technique, même les plus basiques, que la défense avait été confrontée. En ouverture d’audience, la magistrate chargée de rappeler les faits semblait même ne pas connaître Google, prononcé à la française « gogleu », ni savoir ce que signifie un « login », prononcé « lojin ». Difficile, dans ces conditions, d’expliquer qu’il est effectivement possible de tomber sur des documents de travail par une simple recherche… « Mais il faut tout de même taper des mot-clés… », demandait ainsi, dubitatif, un de juges. « Comment faites-vous pour arriver sur des questions de santé publique alors que vous cherchiez des choses sur la Syrie ? » Au fil de l’audience, on se rend compte que les magistrats ont une vision totalement fantasmée d’internet, et des documents que l’on peut y trouver… « Vous ne vous souciez pas de savoir si vous alliez tuer toute la planète ? », s’indigne ainsi une magistrate alors que l’accusé vient de lui expliquer que ces documents n’étaient, visiblement, pas confidentiels.
On retrouvait cette même incompréhension du côté du représentant du ministère public. « La moitié des termes que j’ai entendus aujourd’hui, je ne les ai même pas compris », a-t-il ainsi reconnu en commençant son réquisitoire. « Mes enfants, eux, pourraient très bien m’expliquer tout ça mais je pense que, dans ce dossier, il faut avant tout simplifier et ne pas se perdre. » Pour le parquet, certes, « il y a eu une défaillance dans l’extranet de l’Anses », mais il a remis en cause la « bonne foi » d’Olivier Laurelli en affirmant : « Vous saviez que cet extranet était normalement protégé. »
« C’est tout de même assez étonnant de poursuivre quelqu’un sans comprendre ce qu’on lui reproche », avait rétorqué l’avocat de Bluetouff. Durant sa plaidoirie, Me Olivier Iteanu a insisté sur le fait que l’Anses avait, elle-même, reconnu son erreur et ne s’était d’ailleurs même pas portée partie civile. L’avocat s’était également interrogé sur l’attitude du ministère public dans cette affaire, ne pouvant « s’empêcher de faire le lien » entre ce qu’il avait qualifié « d’acharnement » et les révélations faites par le site de son client ces dernières années. « Pourquoi ont-ils fait appel ? Nous ne comprenons toujours pas », explique-t-il à Mediapart. « Je ne peux m’empêcher de me demander pourquoi. On peut se dire que c’est, notamment, une manière de faire durer la procédure et ainsi la surveillance d’Olivier Laurelli. Cela leur permet par exemple de garder ses disques durs. »
Contactée par Mediapart, l’Anses s’était faite, elle, très évasive sur cette affaire, qualifiée de « lointaine ». Le service de presse se contente de préciser qu’il s’agissait bien « d’une faille informatique » dans leur système et que l’agence « ne s’est pas portée partie civile ».
Interrogé par Mediapart après le rendu du jugement, Olivier Laurelli affirme ne pas encore savoir s’il formera pourvoi en cassation et explique ne pas être totalement être surpris par cette décision : « On me reproche de m'être maintenu dans un espace public et d'avoir volé (donc soustrait) des documents que j'ai copiés et non soustraits. C'est très logique avec le procès d'appel en fait. Face à des e-gnares, je ne pouvais pas en attendre moins. »
A lire aussi sur le blog de Tuxicoman : Utiliser le calendrier Android sans compte Google