Hack Deezer : un responsable sécurité informatique devant la justice

Le par  |  15 commentaire(s)
Deezer-win8-logo

Actuellement responsable de la sécurité informatique pour une entreprise, un jeune Nîmois de 24 ans comparaît devant la justice pour avoir piraté le service de streaming de musique Deezer.

En 2009, un " hacker " français avait contourné les mesures de protection mises en place par Deezer pour proposer un outil permettant de récupérer le flux audio du service de streaming de musique.

DeezerLe quotidien régional Midi Libre présente ce jeune homme de 24 ans comme un " génie de l'informatique " qui a " craqué les codes de sécurité " de Deezer et a mis à disposition un " logiciel permettant d'écouter gratuitement la musique disponible ".

Aujourd'hui en charge... de la sécurité informatique d'une entreprise, ce Nîmois est confronté à la justice en correctionnel. Il a reconnu une erreur de jeunesse qu'il regrette. Son avocat a toutefois souligné des mesures de protection à l'époque inefficaces pour Deezer. Le jugement est attendu pour le 28 juin prochain.

Dans ce procès pour piratage informatique et atteinte aux droits d'auteur, Deezer et la SCPP ( Société civile des producteurs phonographiques ) réclament un total de 90 000 euros de dommages-intérêts. Le parquet a requis une amende de 1 500 euros.

En 2011, le tribunal correctionnel de Metz avait condamné à six mois de prison avec sursis et 15 000 euros de dommages-intérêts un étudiant qui avait conçu un logiciel dénommé Freezer et permettant de télécharger au format MP3 de la musique proposée sur diverses plateformes de streaming de musique dont Deezer.

Présent à l'échelle mondiale à l'exception notable des États-Unis, Deezer revendique 4 millions d'abonnés payants pour 10 millions d'utilisateurs.

Complément d'information

Vos commentaires Page 1 / 2

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #1337982

A en croire l'avocat , c'est la faute de Deezer si ils se sont fait pirater

Quel beau métier
Le #1338082
Bruno a écrit :

non mais une société à la responsabilité des données utilisateurs qu'elle possède et à charge pour elle de tout faire pour assurer au mieux leur sécurité. S'il y a un défaut manifeste de sécurité, par exemple si une faille est connue mais n'a été corrigée qu'au bout de 6 mois, la justice peut très bien les condamner pour défaut de sécurité et donner des dommages et intérêts aux utilisateurs lésés lors de l'attaque.


Euh, certes, mais il ne faut tout de même pas tout mélanger... Ici les utilisateurs n'ont pas été lésés, si quelqu'un peut s'estimer lésé ça serait plutôt la SCPP. Et comme ils sont pas débiles, une fois le vrai coupable attrapé, ils préfèrent se retourner contre lui plutôt que d'aller attaquer Deezer (ce qui serait assez typiquement américain, comme comportement... ).
Et dans tous les cas, aussi mauvaise soit la sécurité, ça ne déresponsabilise pas le pirate qui en exploite les défauts... Sinon c'est comme dire que voler un vélo protégé par un antivol facile à couper est légitime parce que l'antivol est mauvais...
Le #1338092
Bruno a écrit :

non mais une société à la responsabilité des données utilisateurs qu'elle possède et à charge pour elle de tout faire pour assurer au mieux leur sécurité. S'il y a un défaut manifeste de sécurité, par exemple si une faille est connue mais n'a été corrigée qu'au bout de 6 mois, la justice peut très bien les condamner pour défaut de sécurité et donner des dommages et intérêts aux utilisateurs lésés lors de l'attaque.


Pas d'accord ! Si tu laisses la porte de ta voiture non verrouillée par distraction et que l'on coffre le voleur qui s'y est introduit, ce n'est pas toi qui est responsable des agissements du malfrat. Faudrait quand même pas se tromper de victime et d'agresseur tout même Le serveur d'une entreprise est une propriété privée et si ce gars s'y est introduit :

1. Il savait ce qu'il faisait et il n'y était pas contraint et forcé.
2. Il a utilisé ses compétences pour le faire (ex : un boxeur qui frappe à main nue est considéré comme armé devant la loi).
3. Ce n'est pas à l'entreprise hackée de supporter les dommages d'une infraction, sinon on est parti pour toutes les dérives

Pour ce qui est de l'argumentation de l'avocat, plus rien ne m'étonne, ce sont les seuls êtres vivants sans conscience
Le #1338202
Ulysse2K a écrit :

Bruno a écrit :

non mais une société à la responsabilité des données utilisateurs qu'elle possède et à charge pour elle de tout faire pour assurer au mieux leur sécurité. S'il y a un défaut manifeste de sécurité, par exemple si une faille est connue mais n'a été corrigée qu'au bout de 6 mois, la justice peut très bien les condamner pour défaut de sécurité et donner des dommages et intérêts aux utilisateurs lésés lors de l'attaque.


Pas d'accord ! Si tu laisses la porte de ta voiture non verrouillée par distraction et que l'on coffre le voleur qui s'y est introduit, ce n'est pas toi qui est responsable des agissements du malfrat. Faudrait quand même pas se tromper de victime et d'agresseur tout même Le serveur d'une entreprise est une propriété privée et si ce gars s'y est introduit :

1. Il savait ce qu'il faisait et il n'y était pas contraint et forcé.
2. Il a utilisé ses compétences pour le faire (ex : un boxeur qui frappe à main nue est considéré comme armé devant la loi).
3. Ce n'est pas à l'entreprise hackée de supporter les dommages d'une infraction, sinon on est parti pour toutes les dérives

Pour ce qui est de l'argumentation de l'avocat, plus rien ne m'étonne, ce sont les seuls êtres vivants sans conscience


Malheureusement, c'est vrai.
Par contre j'aimerais personnellement que les choses soient _un peu_ plus comme @Bruno en parle avec l'instauration d'un minimum légal de sécurité lorsque des données (particulièrement privées) d'utilisateurs sont hébergées.

Tu as pris l'exemple de la voiture, qui est pertinent mais si tu prends un autre exemple ça peut être différent : les banques, en France, elle sont soumises à des audits obligatoires de sécurité bancaires afin de s'assurer que l'argent de leurs clients est à l'abris. Lorsque ce n'est pas le cas il y a amende et à terme (du moins sur le papier), demande de cession de l'activité. Une adaptation plus light de ce principe aux sociétés hébergeant des données sensibles (on s'écarte du cas de Deezer où, franchement, ce cas ne s'applique pas) serait bien vu, je trouve.
Le #1338292
Ulysse2K a écrit :

Bruno a écrit :

non mais une société à la responsabilité des données utilisateurs qu'elle possède et à charge pour elle de tout faire pour assurer au mieux leur sécurité. S'il y a un défaut manifeste de sécurité, par exemple si une faille est connue mais n'a été corrigée qu'au bout de 6 mois, la justice peut très bien les condamner pour défaut de sécurité et donner des dommages et intérêts aux utilisateurs lésés lors de l'attaque.


Pas d'accord ! Si tu laisses la porte de ta voiture non verrouillée par distraction et que l'on coffre le voleur qui s'y est introduit, ce n'est pas toi qui est responsable des agissements du malfrat. Faudrait quand même pas se tromper de victime et d'agresseur tout même Le serveur d'une entreprise est une propriété privée et si ce gars s'y est introduit :

1. Il savait ce qu'il faisait et il n'y était pas contraint et forcé.
2. Il a utilisé ses compétences pour le faire (ex : un boxeur qui frappe à main nue est considéré comme armé devant la loi).
3. Ce n'est pas à l'entreprise hackée de supporter les dommages d'une infraction, sinon on est parti pour toutes les dérives

Pour ce qui est de l'argumentation de l'avocat, plus rien ne m'étonne, ce sont les seuls êtres vivants sans conscience


mais on a fait des MAj sur les voiture depuis les porte ce ferme toute seul o bout d'un moment...

Bug : oublier de fermer ca voiture patch: fermeture automatique...

mais plus sérieusement il demande 90K€ de dommage tu laisse 90K€ sur ta banquette arrière sans une sécurité de dingue? Moi perso non ...
Le #1338332
MickHammer a écrit :

Ulysse2K a écrit :

Bruno a écrit :

non mais une société à la responsabilité des données utilisateurs qu'elle possède et à charge pour elle de tout faire pour assurer au mieux leur sécurité. S'il y a un défaut manifeste de sécurité, par exemple si une faille est connue mais n'a été corrigée qu'au bout de 6 mois, la justice peut très bien les condamner pour défaut de sécurité et donner des dommages et intérêts aux utilisateurs lésés lors de l'attaque.


Pas d'accord ! Si tu laisses la porte de ta voiture non verrouillée par distraction et que l'on coffre le voleur qui s'y est introduit, ce n'est pas toi qui est responsable des agissements du malfrat. Faudrait quand même pas se tromper de victime et d'agresseur tout même Le serveur d'une entreprise est une propriété privée et si ce gars s'y est introduit :

1. Il savait ce qu'il faisait et il n'y était pas contraint et forcé.
2. Il a utilisé ses compétences pour le faire (ex : un boxeur qui frappe à main nue est considéré comme armé devant la loi).
3. Ce n'est pas à l'entreprise hackée de supporter les dommages d'une infraction, sinon on est parti pour toutes les dérives

Pour ce qui est de l'argumentation de l'avocat, plus rien ne m'étonne, ce sont les seuls êtres vivants sans conscience


mais on a fait des MAj sur les voiture depuis les porte ce ferme toute seul o bout d'un moment...

Bug : oublier de fermer ca voiture patch: fermeture automatique...

mais plus sérieusement il demande 90K€ de dommage tu laisse 90K€ sur ta banquette arrière sans une sécurité de dingue? Moi perso non ...


Oui, comme on dit dans le jargon, ils l'ont bien mérité, hein ? http://forum.aufeminin.com/forum/psycho1/__f29619_psycho1-Comment-doit-on-se-comporter-pour-eviter-d-etre-violee.html
Le #1338422
Nerthazrim a écrit :

Ulysse2K a écrit :

Bruno a écrit :

non mais une société à la responsabilité des données utilisateurs qu'elle possède et à charge pour elle de tout faire pour assurer au mieux leur sécurité. S'il y a un défaut manifeste de sécurité, par exemple si une faille est connue mais n'a été corrigée qu'au bout de 6 mois, la justice peut très bien les condamner pour défaut de sécurité et donner des dommages et intérêts aux utilisateurs lésés lors de l'attaque.


Pas d'accord ! Si tu laisses la porte de ta voiture non verrouillée par distraction et que l'on coffre le voleur qui s'y est introduit, ce n'est pas toi qui est responsable des agissements du malfrat. Faudrait quand même pas se tromper de victime et d'agresseur tout même Le serveur d'une entreprise est une propriété privée et si ce gars s'y est introduit :

1. Il savait ce qu'il faisait et il n'y était pas contraint et forcé.
2. Il a utilisé ses compétences pour le faire (ex : un boxeur qui frappe à main nue est considéré comme armé devant la loi).
3. Ce n'est pas à l'entreprise hackée de supporter les dommages d'une infraction, sinon on est parti pour toutes les dérives

Pour ce qui est de l'argumentation de l'avocat, plus rien ne m'étonne, ce sont les seuls êtres vivants sans conscience


Malheureusement, c'est vrai.
Par contre j'aimerais personnellement que les choses soient _un peu_ plus comme @Bruno en parle avec l'instauration d'un minimum légal de sécurité lorsque des données (particulièrement privées) d'utilisateurs sont hébergées.

Tu as pris l'exemple de la voiture, qui est pertinent mais si tu prends un autre exemple ça peut être différent : les banques, en France, elle sont soumises à des audits obligatoires de sécurité bancaires afin de s'assurer que l'argent de leurs clients est à l'abris. Lorsque ce n'est pas le cas il y a amende et à terme (du moins sur le papier), demande de cession de l'activité. Une adaptation plus light de ce principe aux sociétés hébergeant des données sensibles (on s'écarte du cas de Deezer où, franchement, ce cas ne s'applique pas) serait bien vu, je trouve.


Je suis d'accord avec toi sur le fait qu'un audit de sécurité plus sévère et un durcissement des serveurs seraient d'excellentes choses. Sur ce point, c'est indiscutable. Mais certaines entreprises se heurtent à différents problèmes :

- Le coût (souvent exorbitant) de ces audits (qui doivent être très réguliers s'il se veulent efficaces). Deezer ou ce type de société n'ont pas les mêmes moyens que les banques.
- La plateforme utilisée dépend souvent des avantages qui sont offerts par les éditeurs de celle-ci. Et nous savons que certaines sont plus "vulnérables" que d'autres (je me retiens, on n'est pas vendredi )
- Un personnel qualifié (pour ne pas dire extrêmement qualifié ) pour la maintenance et le durcissement. Même souci, le coût.

Quoiqu'il en soit, même si la fiabilité n'est pas garantie (et elle ne l'est jamais), il est un peu simpliste de dire que le voleur a été trop tenté et que ce n'est pas de sa faute

@MickHammer : J'ai une Alpine (ma p'tite tuture des dimanches ensoleillés ) qui n'est pas équipée de verrouillage automatique. En suivant ton raisonnement, je ne peux pas la sortir car si on me la vole, c'est de ma faute .... C'est cela oui

Le #1338512
Ulysse2K a écrit :

Nerthazrim a écrit :

Ulysse2K a écrit :

Bruno a écrit :

non mais une société à la responsabilité des données utilisateurs qu'elle possède et à charge pour elle de tout faire pour assurer au mieux leur sécurité. S'il y a un défaut manifeste de sécurité, par exemple si une faille est connue mais n'a été corrigée qu'au bout de 6 mois, la justice peut très bien les condamner pour défaut de sécurité et donner des dommages et intérêts aux utilisateurs lésés lors de l'attaque.


Pas d'accord ! Si tu laisses la porte de ta voiture non verrouillée par distraction et que l'on coffre le voleur qui s'y est introduit, ce n'est pas toi qui est responsable des agissements du malfrat. Faudrait quand même pas se tromper de victime et d'agresseur tout même Le serveur d'une entreprise est une propriété privée et si ce gars s'y est introduit :

1. Il savait ce qu'il faisait et il n'y était pas contraint et forcé.
2. Il a utilisé ses compétences pour le faire (ex : un boxeur qui frappe à main nue est considéré comme armé devant la loi).
3. Ce n'est pas à l'entreprise hackée de supporter les dommages d'une infraction, sinon on est parti pour toutes les dérives

Pour ce qui est de l'argumentation de l'avocat, plus rien ne m'étonne, ce sont les seuls êtres vivants sans conscience


Malheureusement, c'est vrai.
Par contre j'aimerais personnellement que les choses soient _un peu_ plus comme @Bruno en parle avec l'instauration d'un minimum légal de sécurité lorsque des données (particulièrement privées) d'utilisateurs sont hébergées.

Tu as pris l'exemple de la voiture, qui est pertinent mais si tu prends un autre exemple ça peut être différent : les banques, en France, elle sont soumises à des audits obligatoires de sécurité bancaires afin de s'assurer que l'argent de leurs clients est à l'abris. Lorsque ce n'est pas le cas il y a amende et à terme (du moins sur le papier), demande de cession de l'activité. Une adaptation plus light de ce principe aux sociétés hébergeant des données sensibles (on s'écarte du cas de Deezer où, franchement, ce cas ne s'applique pas) serait bien vu, je trouve.


Je suis d'accord avec toi sur le fait qu'un audit de sécurité plus sévère et un durcissement des serveurs seraient d'excellentes choses. Sur ce point, c'est indiscutable. Mais certaines entreprises se heurtent à différents problèmes :

- Le coût (souvent exorbitant) de ces audits (qui doivent être très réguliers s'il se veulent efficaces). Deezer ou ce type de société n'ont pas les mêmes moyens que les banques.
- La plateforme utilisée dépend souvent des avantages qui sont offerts par les éditeurs de celle-ci. Et nous savons que certaines sont plus "vulnérables" que d'autres (je me retiens, on n'est pas vendredi )
- Un personnel qualifié (pour ne pas dire extrêmement qualifié ) pour la maintenance et le durcissement. Même souci, le coût.

Quoiqu'il en soit, même si la fiabilité n'est pas garantie (et elle ne l'est jamais), il est un peu simpliste de dire que le voleur a été trop tenté et que ce n'est pas de sa faute

@MickHammer : J'ai une Alpine (ma p'tite tuture des dimanches ensoleillés ) qui n'est pas équipée de verrouillage automatique. En suivant ton raisonnement, je ne peux pas la sortir car si on me la vole, c'est de ma faute .... C'est cela oui


Effectivement, nos PMEs n'ont pas besoin d'une couche de bureaucratie supplémentaire. Surtout qu'internet étant global, si on augmente les coûts chez nous le marché sera rapidement phagocyté par la concurrence étrangère...
Le #1338722
Un génie pareil ne peut pas être puni à l'excès.... ses talents seront probablement "réutilisés" à bon escient ...
Le #1338972
liberal a écrit :

Ulysse2K a écrit :

Nerthazrim a écrit :

Ulysse2K a écrit :

Bruno a écrit :

non mais une société à la responsabilité des données utilisateurs qu'elle possède et à charge pour elle de tout faire pour assurer au mieux leur sécurité. S'il y a un défaut manifeste de sécurité, par exemple si une faille est connue mais n'a été corrigée qu'au bout de 6 mois, la justice peut très bien les condamner pour défaut de sécurité et donner des dommages et intérêts aux utilisateurs lésés lors de l'attaque.


Pas d'accord ! Si tu laisses la porte de ta voiture non verrouillée par distraction et que l'on coffre le voleur qui s'y est introduit, ce n'est pas toi qui est responsable des agissements du malfrat. Faudrait quand même pas se tromper de victime et d'agresseur tout même Le serveur d'une entreprise est une propriété privée et si ce gars s'y est introduit :

1. Il savait ce qu'il faisait et il n'y était pas contraint et forcé.
2. Il a utilisé ses compétences pour le faire (ex : un boxeur qui frappe à main nue est considéré comme armé devant la loi).
3. Ce n'est pas à l'entreprise hackée de supporter les dommages d'une infraction, sinon on est parti pour toutes les dérives

Pour ce qui est de l'argumentation de l'avocat, plus rien ne m'étonne, ce sont les seuls êtres vivants sans conscience


Malheureusement, c'est vrai.
Par contre j'aimerais personnellement que les choses soient _un peu_ plus comme @Bruno en parle avec l'instauration d'un minimum légal de sécurité lorsque des données (particulièrement privées) d'utilisateurs sont hébergées.

Tu as pris l'exemple de la voiture, qui est pertinent mais si tu prends un autre exemple ça peut être différent : les banques, en France, elle sont soumises à des audits obligatoires de sécurité bancaires afin de s'assurer que l'argent de leurs clients est à l'abris. Lorsque ce n'est pas le cas il y a amende et à terme (du moins sur le papier), demande de cession de l'activité. Une adaptation plus light de ce principe aux sociétés hébergeant des données sensibles (on s'écarte du cas de Deezer où, franchement, ce cas ne s'applique pas) serait bien vu, je trouve.


Je suis d'accord avec toi sur le fait qu'un audit de sécurité plus sévère et un durcissement des serveurs seraient d'excellentes choses. Sur ce point, c'est indiscutable. Mais certaines entreprises se heurtent à différents problèmes :

- Le coût (souvent exorbitant) de ces audits (qui doivent être très réguliers s'il se veulent efficaces). Deezer ou ce type de société n'ont pas les mêmes moyens que les banques.
- La plateforme utilisée dépend souvent des avantages qui sont offerts par les éditeurs de celle-ci. Et nous savons que certaines sont plus "vulnérables" que d'autres (je me retiens, on n'est pas vendredi )
- Un personnel qualifié (pour ne pas dire extrêmement qualifié ) pour la maintenance et le durcissement. Même souci, le coût.

Quoiqu'il en soit, même si la fiabilité n'est pas garantie (et elle ne l'est jamais), il est un peu simpliste de dire que le voleur a été trop tenté et que ce n'est pas de sa faute

@MickHammer : J'ai une Alpine (ma p'tite tuture des dimanches ensoleillés ) qui n'est pas équipée de verrouillage automatique. En suivant ton raisonnement, je ne peux pas la sortir car si on me la vole, c'est de ma faute .... C'est cela oui


Effectivement, nos PMEs n'ont pas besoin d'une couche de bureaucratie supplémentaire. Surtout qu'internet étant global, si on augmente les coûts chez nous le marché sera rapidement phagocyté par la concurrence étrangère...


Certes, c'est vrai que ce point-là aussi est à retenir.

Quand je donnais mon avis sur ce sujet, je visais surtout les grosses-multinationales, souvent la cible de menaces et ayant une base de données bien fournie.
Et je ne limitais pas ma réflexion aux sociétés françaises mais plutôt celles fournissant un service en France ou hébergeant massivement des données potentiellement "françaises" (même si définir la nationalité d'une donnée sur Internet doit être un autre sujet à débat ...)

Et les audits, je ne les voyais pas nécessairement payants, je pense par exemple aux agences nationales créées pour la cybersécurité, en particulier l'ANSSI, avec plus de pouvoirs, elle pourrait forcer une société à mettre son infra à jour ou combler des failles connues, ou facilement exploitables.

Je sais que c'est un sujet compliqué qui demande réflexion afin de trouver le juste milieu mais quand je vois le Hack du PSN par exemple, techniquement ultra-basique, avec les données bancaires de million d'utilisateurs lâchées dans la nature, j'ai tendance à me dire que les millions perdus par Sony avec la fermeture temporaire de ses services n'est pas une "punition" assez conséquente ...
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]