Piratage et usurpation d'identité : Rachida Dati attaque un site internet parodique

Twitter iPhone pliant OnePlus 11 PS5 Disney+ Orange Livebox Windows 11

Actualités Piratage et usurpation d'identité : Rachida Dati attaque un site internet parodique

Publié le 13 novembre 2014 à 19:10 par Mathieu M.

Lire sur mobile

Aujourd'hui s'est déroulée la quatrième audience d'un procès qui oppose Rachida Dati à deux internautes. La députée européenne poursuit deux hommes pour piratage et usurpation d'identité, ils ont exploité une faille de cross site scripting pour diffuser un communiqué de presse parodique de cette dernière.

C'est une blague qui a du mal à passer du côté de Rachida Dati, en 2012, l'administrateur du compte Twitter @Solferishow met à disposition de @jeunespopkemon un nom de domaine et un espace d'hébergement obtenu d'OVH.

L'utilisateur met alors en ligne le site Tweetpop.fr/le-cadeay-de-rachida, qui propose une photo de la députée ainsi qu'un titre " communiqué de presse gratuit". L'idée était de permettre aux visiteurs de rédiger des communiqués de presse satiriques et humoristiques en rapport avec l'activité politique de Rachida Dati.

Au total, ce seraient une vingtaine de communiqués fictifs qui auraient ainsi été publiés le 3 janvier 2012. Le lendemain, le bureau de Rachida Dati dépose plainte pour atteinte à un système de traitement automatisé de données et usurpation d'identité. Le système mis en place exploitait ainsi une faille de cross site scripting (XSS) situé dans le moteur de recherche du site rachida-dati.eu.

Dans la pratique, la faille permet d'injecter des bouts de code via une url non sécurisée. Le visiteur a ainsi l'impression que le contenu ajouté provient effectivement du site alors que ce n'est pas le cas. C'est grâce à cela que l'utilisateur @jeunespopkemon a réussi à imiter aussi bien les communiqués officiels.

La faille en question avait été dénoncée en 2010 sur Twitter, et de faux communiqués politiques avaient déjà été partagés sur la toile, stipulant que Rachida Dati soutenait le NPA et la fellation.

La loi prévoit que " le fait d'introduire frauduleusement des données dans un système de traitement automatisé ou de supprimer ou de modifier frauduleusement les données qu'il contient est puni de cinq ans d'emprisonnement et de 75 000 euros d'amende". Le " fait d'usurper l'identité d'un tiers ou de faire usage d'une ou plusieurs données de toute nature permettant de l'identifier en vue de troubler sa tranquillité ou celle d'autrui, ou de porter atteinte à son honneur ou à sa considération " est sanctionné par un an d'emprisonnement et 15 000 € d'amende.

Le tribunal devra ainsi déterminer la responsabilité de chacun des acteurs du dossier et prendre une décision délicate quant à l'association d'une "modification frauduleuse " dans le cadre de l'exploitation externe d'une faille XSS. Il faudra notamment déterminer si la satire était suffisamment explicite pour se détacher de la notion d'usurpation d'identité... La délibération s'annonce complexe.