Francia, multa per aver pubblicato ciò che è pubblico

Una multa di 3mila euro per aver scaricato e diffuso un documento di un'agenzia governativa, inavvertitamente e liberamente accessibile con una ricerca online

Roma - Condannato a pagare una multa di 3mila euro per aver pubblicato documenti governativi trovati consultando Google. La paradossale vicenda si è consumata in Francia, dove una corte di appello ha giudicato colpevole un blogger transalpino per la diffusione di informazioni riservate che, causa sbadataggine di qualche responsabile, erano facilmente raggiungibili con una
normalissima ricerca.

Questa la colpa dell'imprenditore Olivier Laurelli, noto in Rete con lo pseudonimo Bluetouff, proprietario della piccola società dedita alla sicurezza online Toonux e cofondatore del sito web informativo Reflets.info. Incuriosito, ha scaricato un file da 7,7 GB contenente documenti dell'Agenzia nazionale francese per la sicurezza in campo alimentare, ambientale e lavorativo (ANSES) destinati a restare privati.

Nonostante non abbia commesso nessun reato, Laurelli è stato citato in giudizio dal governo e ha dovuto sostenere un processo penale, risolto con piena assoluzione. La sorpresa però si è materializzata più tardi, quando gli è stata recapitata la multa di 3mila euro stabilita dalla corte di appello, che lo ha reso il responsabile della ricerca su Google più costosa della storia.

Per Laurelli la decisione di avviare un procedimento penale deriva dall'aver mascherato il suo indirizzo IP, sostituito con uno panamense assegnato dai servizi di Toonux. In fase di dibattimento Bluetouff ha riconosciuto il mascheramento, ma ha sottolineato come non ci fosse nessuna esplicita indicazione circa la necessità di autorizzazioni per accedere al documento incriminato. Ha così convinto il giudice sul suo operato, ma anche l'ANSES, che non ha proseguito l'azione legale.
Chi non si è arresa è stata la direzione centrale dell'intelligence nazionale (DCRI), che ha fatto appello per punire Blouetouff, riconosciuto colpevole poiché consapevole che la conservazione del documento fosse irregolare, per aver effettuato una copia del documento e per averlo diffuso all'insaputa e contro la volontà del proprietario.

La sanzione ha allarmato i media francesi che, visto il precedente, hanno messo in guardia circa i potenziali pericoli in cui potrebbe incappare qualsiasi cittadino, che potrà esser definito un cracker soltanto per aver effettuato delle ricerche sul più popolare motore di ricerca, e ancor più i giornalisti, condannabili di pubblicare documenti nel nome della libera circolazione dell'informazione. Un quadro preoccupante, disegnato da protagonisti non propriamente competenti in materia: come riportato da diversi organi di stampa, il presidente della corte di appello non conosceva Google né termini usuali come Login, mentre il procuratore è riuscito a far di meglio dichiarando di "non aver minimamente compreso la metà delle parole ascoltate durante il dibattimento".

Alessio Caprodossi
57 Commenti alla Notizia Francia, multa per aver pubblicato ciò che è pubblico
Ordina
  • Strano che lo stesso articolo metta un link a un articolo in francese, chiarificatore, e poi scriva tutt'altro.
    L'articolo è questo:

    http://www.maitre-eolas.fr/post/2014/02/07/NON%2C-...

    È vero che quel documento era stato trovato con una banale ricerca su Google. Ma l'imputato ha fatto una importante ammissione:

    " Sur le maintien frauduleux, la cour retient qu’entendu au cours de la garde à vue, Bluetouff a reconnu s’être baladé dans l’arborescence des répertoires en remontant jusqu’à la page d’accueil, où il a constaté la présence d’une authentification par login / mot de passe. Fatalitas . Dès lors, Bluetouff a creusé sa tombe ".

    (Sulla condotta fraudolenta, la corte ritiene che Bluetouff, sentito durante il fermo giudiziario, ha riconosciuto di aver vagato nella struttura della directory fino a risalire alla home page, dove ha rilevato la presenza di un accesso tramite login / password. Fatalitas . Con ciò Bluetouff ha scavato la sua tomba).

    In italiano la sua azione si chiamerebbe accesso abusivo ad un sistema telematico o informatico.
    -----------------------------------------------------------
    Modificato dall' autore il 17 febbraio 2014 13.54
    -----------------------------------------------------------
  • - Scritto da: Leguleio

    > (Sulla condotta fraudolenta, la corte ritiene che
    > Bluetouff, sentito durante il fermo giudiziario,
    > ha riconosciuto di aver vagato nella struttura
    > della directory fino a risalire alla home page,
    > dove ha rilevato la presenza di un accesso
    > tramite login / password. Fatalitas
    >
    . Con ciò Bluetouff ha scavato la sua
    > tomba).

    Non sussite alcun 'accesso abusivo' nel fare 'directory recursion' su una risorsa pubblica: tutte le sezioni protette infatti sono comunque irraggiungibili e contemporaneamente tutte le cartelle navigabili sono indicizzate.
    Questo perchè nel WEB le credenziali vengono richieste ad ogni istanza GET di una risorsa protetta e non solo in un generico punto di ingresso del sito come invece avverrebbe nel mondo fisico (in quest'ultimo caso per motivi logistici).
    Se vai sul sito dell'INPS, uno a caso, puoi scaricare documenti da percorsi lunghissimi pur essendo senza credenziali: è previsto che sia così.
    Il fatto che in home page ( quindi alla radice di quei percorsi ) ci sia la richiesta di credenziali significa che ci saranno altri documenti che sono effettivamente protetti , ma non significa che tutti i documenti al di sotto dell'home page siano protetti.
    Conclusione: nulla lascia intendere che le credenziali servissero a proteggere proprio quel materiale in quanto non c'era nessuna volontà nè scritta nè tantomeno resa effettiva dai normali sistemi di autenticazione.
    non+autenticato
  • > > (Sulla condotta fraudolenta, la corte
    > ritiene
    > che
    > > Bluetouff, sentito durante il fermo
    > giudiziario,
    > > ha riconosciuto di aver vagato nella
    > struttura
    > > della directory fino a risalire alla home
    > page,
    > > dove ha rilevato la presenza di un accesso
    > > tramite login / password.
    > Fatalitas
    > >
    . Con ciò Bluetouff ha scavato la
    > sua
    > > tomba).
    >
    > Non sussite alcun 'accesso abusivo' nel fare
    > 'directory recursion' su una risorsa pubblica:

    Questo lo devi dire ai legislatori francesi e ai giudici francesi, non a me.
    Bluetouff, ammettendo quella circostanza, ha sostanzialmente ammesso di essere dalla parte del torto. Credo che se avesse giocato a fare il finto tonto, sostenendo che era tutto apparentemente a libera disposizione, l'esito della sentenza sarebbe stato diverso.
  • Non è cosi.
  • - Scritto da: Leguleio

    > Questo lo devi dire ai legislatori francesi e ai
    > giudici francesi, non a
    > me.

    Lo dico a te che hai scritto quelle cose e a chiunque pensi che togliere qualche carattere dall'indirizzo che sta in cima alla pagina WEB sia un atto che possa far presumere una qualche consapevolezza di bypassare i controlli di autenticazione.

    FALSO

    Perchè, come detto, ogni oggetto presente (pagina, file, ...) nel sito è controllato delle credenziali dell'utente. In caso non siano fornite il sito assume che l'utente sia un 'guest' con le conseguenze del caso.

    Per far capire a chi ancora cascasse dalle nuvole, è come se una volta entrato in una discoteca, avendo già presentato documenti e biglietti all'ingresso, qualsiasi interazione con gli elementi della discoteca scaturisse una nuova richiesta delle credenziali.
    In pratica se ti trovassi, senza credenziali, per sbaglio in un locale all'interno della discoteca, avendo bypassato in qualche modo il controllo all'ingresso, qualsiasi tua mossa scatenerebbe una nuova richiesta di credenziali.

    Non se ne esce: se tale rischiesta non c'era, non solo il navigatore aveva diritto di prelevare la risorsa, ma non poteva nemmeno sospettare che tale risorsa fosse privata.
    Tanto più che il tizio lavora in un'azienda di sicurezza informatica e pertanto conosce perfettamente questo meccanismo, quindi vedendo che nessuna credenziale veniva richiesta è andato avanti senza nessun timore.
    non+autenticato
  • > > Questo lo devi dire ai legislatori francesi
    > e
    > ai
    > > giudici francesi, non a
    > > me.
    >
    > Lo dico a te che hai scritto quelle cose e a
    > chiunque pensi che togliere qualche carattere
    > dall'indirizzo che sta in cima alla pagina WEB
    > sia un atto che possa far presumere una qualche
    > consapevolezza di bypassare i controlli di
    > autenticazione.
    >
    > FALSO

    Che vuoi che ti dica? I giudici francesi la pensano diversamente.
    E anche il testo dell'accesso abusivo ad un sistema informatico o telematico, secondo la stesura italiana, si presta a queste accuse:

    http://www.altalex.com/index.php?idnot=36774#art61...


    > Perchè, come detto, ogni oggetto presente
    > (pagina, file, ...) nel sito è controllato delle
    > credenziali dell'utente. In caso non siano
    > fornite il sito assume che l'utente sia un
    > 'guest' con le conseguenze del
    > caso.
    >
    > Per far capire a chi ancora cascasse dalle
    > nuvole, è come se una volta entrato in una
    > discoteca, avendo già presentato documenti e
    > biglietti all'ingresso, qualsiasi interazione con
    > gli elementi della discoteca scaturisse una nuova
    > richiesta delle
    > credenziali.
    > In pratica se ti trovassi, senza credenziali, per
    > sbaglio in un locale all'interno della discoteca,
    > avendo bypassato in qualche modo il controllo
    > all'ingresso, qualsiasi tua mossa scatenerebbe
    > una nuova richiesta di
    > credenziali.
    >
    > Non se ne esce: se tale rischiesta non c'era, non
    > solo il navigatore aveva diritto di prelevare la
    > risorsa, ma non poteva nemmeno sospettare che
    > tale risorsa fosse
    > privata.

    Bluefouff ha ammesso che si era accorto della presenza della richiesta di autenticazione. Non era ignaro della circostanza. Ed è un dettaglio non da poco.


    > Tanto più che il tizio lavora in un'azienda di
    > sicurezza informatica e pertanto conosce
    > perfettamente questo meccanismo, quindi vedendo
    > che nessuna credenziale veniva richiesta è andato
    > avanti senza nessun
    > timore.

    Questo è un argomento specioso. Equivale a dire che siccome era un esperto di sicurezza informatica, allora non avrebbe mai compiuto azioni contro la legge, o azioni contro la sicurezza di un sistema informatico.
    Spero che qui su PI siamo tutti uomini di mondo, e che non gridiamo allo scandalo se scopriamo che un prete non rispetta il voto di castità, se un marito contrariamente a quanto promesso alla moglie di fronte a testimoni la tradisce con un'altra, o se un figlio disubbidisce ai genitori quando naviga sul web e va a divertirsi nei siti porcelli.
    -----------------------------------------------------------
    Modificato dall' autore il 17 febbraio 2014 18.44
    -----------------------------------------------------------
  • > Che vuoi che ti dica? I giudici francesi la
    > pensano
    > diversamente.

    Anche nel caso Tortora la pensavano in una certa maniera.
    Ma evitiamo di divagare.

    > Bluefouff ha ammesso che si era accorto della
    > presenza della richiesta di autenticazione.

    Ancora?
    Non significa nulla.
    Occorre dimostrare che lui si fosse accorto che l'autenticazione servisse ad evitare il download di quel file specifico .

    Quando vai nell'home page di Google in alto a destra c'è l'autenticazione. Però le ricerche puoi farle anche senza autenticarti.
    Sei un hacker? Sei un utente fraudolento? Stai violando il domicilio telematico di Google?
    No. Google, nonostante ti dia la possibilità di autenticazione prevede che tu possa fare ricerche (e tante altre cose).
    Lo stesso vale per qualunque sito.


    > Questo è un argomento specioso. Equivale a dire
    > che siccome era un esperto di sicurezza
    > informatica, allora non avrebbe mai compiuto
    > azioni contro la legge

    Il tuo ragionamento è astruso: sapere come funziona il WEB, in questo caso significa avere la certezza che, togliendo un paio di caratteri all'url, non hai fatto hacking o un'intrusione. Sei arrivato al file senza passare dall'interfaccia grafica ed usando il buon vecchio albero del filesystem (in verità a sua volta un'interfaccia grafica visto che si tratta di un rendering HTML dello stesso). Nessuna magia: è una banale impostazione del webserver.
    Un utente meno scafato avrebbe viceversa potuto pensare di aver creato in qualche modo una backdoor, bypassando le verifiche di autenticazione.
    Nel caso del suddetto utente poco scafato il dubbio di una consapevolezza di illecito sarebbe stato plausibile. Il tizio esperto invece non poteva avere alcun dubbio: il file era pubblico a tutti gli effetti.
    E infatti lo era tranne che nella testa dei gestori del sito, ma pensa un po', a scuola, anche a quella di legge, non insgnano a leggere il pensiero.
    non+autenticato
  • > > Che vuoi che ti dica? I giudici francesi la
    > > pensano
    > > diversamente.
    >
    > Anche nel caso Tortora la pensavano in una certa
    > maniera.
    > Ma evitiamo di divagare.

    Solo il primo grado. Tortora fu assolto in appello e in Cassazione.


    > > Bluefouff ha ammesso che si era accorto della
    > > presenza della richiesta di autenticazione.
    >
    > Ancora?
    > Non significa nulla.

    Lascialo decidere ai giudici cosa significa e cosa non significa, ai fini dell'applicazione della legge.
    Tu prima di scrivere un programma in C++ o in Scala vai a chiedere il parere del presidente della Corte di Cassazione?


    > Occorre dimostrare che lui si fosse
    > accorto che l'autenticazione servisse ad evitare
    > il download di quel file specifico

    > .

    No, non è necessario per il reato di accesso abusivo ad un sistema informatico o telematico. Basta aver dichiarato davanti al giudice la consapevolezza.
    Nel caso specifico, poi, essendo Bluetouff un esperto informatico, direi che è ovvio per tutti, anche per dei magistrati poco addentro ad internet, che avesse capito bene a cosa serviva la password.


    > Quando vai nell'home page di Google in alto a
    > destra c'è l'autenticazione. Però le ricerche
    > puoi farle anche senza
    > autenticarti.
    > Sei un hacker? Sei un utente fraudolento? Stai
    > violando il domicilio telematico di
    > Google?

    No.
    Ma le operazioni che ha compiuto Bluetouff sono un po' più elaborate che andare sulla home page di Google. E come detto, si è accorto che c'era un'autenticazione da fare, che evidentemente non funzionava. Avesse tenuto la bocca chiusa...


    > No. Google, nonostante ti dia la possibilità di
    > autenticazione prevede che tu possa fare ricerche
    > (e tante altre
    > cose).
    > Lo stesso vale per qualunque sito.

    Non conosco francamente la politica di ogni singolo sito esistente sul web.
    Quella dell'ANSES non era evidentemente così, se hanno denunciato alla polizia l'accesso fraudolento al loro server. E da lì è partita l'inchiesta.


    > > Questo è un argomento specioso. Equivale a
    > dire
    > > che siccome era un esperto di sicurezza
    > > informatica, allora non avrebbe mai compiuto
    > > azioni contro la legge
    >
    > Il tuo ragionamento è astruso: sapere come
    > funziona il WEB, in questo caso significa avere
    > la certezza che, togliendo un paio di caratteri
    > all'url, non hai fatto hacking o un'intrusione.
    > Sei arrivato al file senza passare
    > dall'interfaccia grafica ed usando il buon
    > vecchio albero del filesystem (in verità a sua
    > volta un'interfaccia grafica visto che si tratta
    > di un rendering HTML dello stesso). Nessuna
    > magia: è una banale impostazione del
    > webserver.
    > Un utente meno scafato avrebbe viceversa potuto
    > pensare di aver creato in qualche modo una
    > backdoor, bypassando le verifiche di
    > autenticazione.
    > Nel caso del suddetto utente poco scafato il
    > dubbio di una consapevolezza di illecito sarebbe
    > stato plausibile. Il tizio esperto invece non
    > poteva avere alcun dubbio: il file era pubblico a
    > tutti gli
    > effetti.

    Certo: un file "pubblico a tutti gli effetti" con accesso tramite password. Chiaramente indicato, visto che Bluetouff se n'è accorto. Poi arriva un programma "open source a codice chiuso".Sorride
    La magistratura francese non sarà una cima, ma trattarla come dei bambini dell'asilo con ritardi mentali non aiuta a capire il caso giudiziario.


    > E infatti lo era tranne che nella testa dei
    > gestori del sito, ma pensa un po', a scuola,
    > anche a quella di legge, non insgnano a leggere
    > il
    > pensiero.

    Un antifurto non funzionante alla porta d'ingresso non cancella il reato di violazione di domicilio.
  • - Scritto da: Leguleio

    non hai capito come funziona il reprimento di risorse sotto autenticazione:
    http://punto-informatico.it/b.aspx?i=3991666&m=399...

    parti dalla mancanza di nozioni di gestione di un webserver, indispensabili a capire quello che è successo.
    Per via di tali carenze ti appigli ad analogie del mondo reale che non stanno in piedi (non essendocene effettivamente di valide) ed infine presumi la sua colpevolezza IPSO FACTO (ovvero perchè un giudice l'ha condannato).

    Direi che non c'è altro da ahggiungere.
    non+autenticato
  • > non hai capito come funziona il reprimento di
    > risorse sotto
    > autenticazione:
    > http://punto-informatico.it/b.aspx?i=3991666&m=399
    >
    > parti dalla mancanza di nozioni di gestione di un
    > webserver, indispensabili a capire quello che è
    > successo.

    Al contrario, sostengo che i giudici francesi quello che ha fatto Bluetouff l'hanno capito benissimo.Ficoso
    Ma a nessuno piace essere condannato, e allora si fa finta di non aver ben capito... "Quelle foto mie, da nuda? Pensavo mi dovessero fare delle lastre!".


    > Per via di tali carenze ti appigli ad analogie
    > del mondo reale che non stanno in piedi (non
    > essendocene effettivamente di valide) ed infine
    > presumi la sua colpevolezza IPSO FACTO (ovvero
    > perchè un giudice l'ha
    > condannato).

    Fosse stato un ragazzino alle prime armi col PC, potevo anche credergli. Ma lui...


    > Direi che non c'è altro da ahggiungere.

    Faccio notare che ti sei "aggiunto" tu. Io ho solo scritto una precisazione all'articolo, sul reato per cui è stato condannato.
  • - Scritto da: Leguleio
    > > non hai capito come funziona il reprimento di
    > > risorse sotto
    > > autenticazione:
    > >
    > http://punto-informatico.it/b.aspx?i=3991666&m=399
    > >
    > > parti dalla mancanza di nozioni di gestione
    > di
    > un
    > > webserver, indispensabili a capire quello
    > che
    > è
    > > successo.
    >
    > Al contrario, sostengo che i giudici francesi
    > quello che ha fatto Bluetouff l'hanno capito
    > benissimo.
    >Ficoso

    Alla luce di che cosa?
    Del fatto che si e' vantato di avere prelevato un documento scrivendo l'url nella barra degli indirizzi invece che cliccando su un link?

    > Ma a nessuno piace essere condannato, e allora si
    > fa finta di non aver ben capito... "Quelle foto
    > mie, da nuda? Pensavo mi dovessero fare delle
    > lastre!".

    Pere con mele.
    Un classico.

    > > Per via di tali carenze ti appigli ad
    > analogie
    > > del mondo reale che non stanno in piedi (non
    > > essendocene effettivamente di valide) ed
    > infine
    > > presumi la sua colpevolezza IPSO FACTO
    > (ovvero
    > > perchè un giudice l'ha
    > > condannato).
    >
    > Fosse stato un ragazzino alle prime armi col PC,
    > potevo anche credergli. Ma
    > lui...

    Ma lui cosa?
    Ha per caso windows?
    In tal caso un ragazzino alle prime armi col PC ne sa di piu'.

    E' un blogger?
    Pure aranzulla ha un blog, non so se mi spiego.

    > > Direi che non c'è altro da ahggiungere.
    >
    > Faccio notare che ti sei "aggiunto" tu. Io ho
    > solo scritto una precisazione all'articolo, sul
    > reato per cui è stato
    > condannato.

    Tu hai alluso a cose che non conosci, partendo da una evidente cantonata del giudice.
  • Com'e' possibile che dei rappresentanti della legge possano candidamente ammettere di essere ignoranti, e continuare a giudicare?

    L'informatica non ammette ignoranza, come e piu' della legge.
  • - Scritto da: panda rossa
    > Com'e' possibile che dei rappresentanti della
    > legge possano candidamente ammettere di essere
    > ignoranti, e continuare a giudicare?
    >
    > L'informatica non ammette ignoranza, come e piu'
    > della legge.

    la "legge" è solo un dispositivo di potere e controllo (uno tra i tanti), che serve ai pochi che lo "gestiscono" per dominare i tanti: è quindi più che "naturale" che la legge non ammetta l'ignoranza degli oppressi e ammetta invece quella degli oppressori, come è "normale" che venga usata dal potere per sfruttare, controllare e reprimere da un lato e per consentire qualsiasi cosa ai "potenti" dall'altro...

    nulla di nuovo sotto il sole
    non+autenticato
  • - Scritto da: panda rossa
    > Com'e' possibile che dei rappresentanti della
    > legge possano candidamente ammettere di essere
    > ignoranti, e continuare a
    > giudicare?
    Puoi spiegarti meglio?
    non+autenticato
  • contenuto non disponibile
  • - Scritto da: unaDuraLezione
    > leggi l'articolo: chi doveva giudicare non sapeva
    > nulla di informatica, nemmeno cosa fosse Google
    > (quindi proprio
    > ZERO)
    Chi giudica deve avere competenze legali, non informatiche(o relative al tipo di crimine commesso)
    non+autenticato
  • > Chi giudica deve avere competenze legali, non
    > informatiche(o relative al tipo di crimine
    > commesso)

    Chi giudica deve essere per lo meno in grado di capire se è stato realmente commesso un crimine o meno, e per farlo deve avere competenze relative alla materia in atto.
    non+autenticato
  • - Scritto da: Un utente
    > - Scritto da: unaDuraLezione
    > > leggi l'articolo: chi doveva giudicare non
    > sapeva
    > > nulla di informatica, nemmeno cosa fosse
    > Google
    > > (quindi proprio
    > > ZERO)

    > Chi giudica deve avere competenze legali, non
    > informatiche(o relative al tipo di crimine commesso)

    se è vero che chi giudica non deve avere particolari competenze "tecniche" rispetto alla materia su cui valuta (se occorre, infatti, i giudici si avvalgono di periti tecnici), è altrettanto vero che chi giudica dovrebbe avere per lo meno un *minimo* di cultura generale... il che dovrebbe includere, per esempio, sapere che google esiste...

    o no?

    se, per esempio, è considerato "normale" dover superare una prova in cui si dimostri di possedere una certa cultura generale (per quanto minima) solo per essere ammessi a frequentare una facoltà universitaria, non credi che chi giudica gli altri in un tribunale dovrebbe possedere una cultura generale decisamente superiore?...
    non+autenticato
  • contenuto non disponibile
  • - Scritto da: unaDuraLezione
    > - Scritto da: Un utente
    >
    > > Chi giudica deve avere competenze legali, non
    > > informatiche
    >
    > certo certo, così si ordina di confiscare (e
    > portare negli uffici giudiziari) una server farm
    > pensando che si tratti di un normale PC (fatto
    > realmente accaduto), si ordina di fare blocco DNS
    > di un sito (ignorando la debolezza dell'atto), si
    > obbliga di fare blocco IP per un altro sito
    > (ignorando i mille siti perfettamente legali che
    > senza alcuna colpa condividono lo stesso IP - e
    > nemmeno vengono notificati dell'oscuramento), si
    > ordina di oscurare tumblr in tutta Italia per
    > un'immagine,
    > ....
    >
    > E a fronte di tutte queste belle cose (ed
    > innumerevoli altre) ci sei tu (e chissà quanti
    > altri) che dici che è bene
    > così.
    > Clicca per vedere le dimensioni originali
    > --------------------------------------------------
    > Modificato dall' autore il 17 febbraio 2014 11.45
    > --------------------------------------------------

    di solito, quando dimostri ad un giudice che e' toppato, al posto di sentirti dire "scusate, non e' mia competenza, aspettate che sento iun tecnico" oppure "passo la cosa ad un livello giudicante piu' alto", ecco che ti risponde "fai come ti ho detto per che io so' io e voi non siete un cazzo". Il giorno che appenderanno qualcuno di questi pretori/giudici d'assalto diro': "se li hanno appesi ci sara' stato pure un motivo, no?".
    non+autenticato