D'après les nombreuses et longues réponses des différents témoins et de l'accusé, les faits étaient les suivants. Serge Bitnick découvre, en regardant sa version, que le CMS de l'hôpital de Tataouine est vulnérable à une faille. Usant de Google Hacking, il découvre également que d'autres systèmes de l'hôpital sont touchés par cette même faille, s'agissant d'interface de gestion distante d'équipements médicaux, en l'occurrence des appareils d'aide respiratoire. Ni une ni deux, il contacte l'hôpital via le formulaire disponible sur le site web en signalant la faille et proposant son aide en donnant son numéro de téléphone.

Il recevra un remerciement et l'assurance que l'information serait transmise et ne sera pas recontacté par la suite. Quinze jours plus tard, ne constatant aucun changement du côté de l'hôpital, il publie un tweet pointant vers un billet sur son blog décrivant la situation et les détails de la faille découverte. S'en suit un buzz médiatique suivi d'une panique à l'hôpital qui devra fermer ses services et envoyer ses patients dans les établissements alentours. Les pertes sont estimées autour de quarante millions d'euros...


Les débats, auxquels l'assistance a été invitée à participer, ont été fort intéressant avec de bonne questions et de belles argumentations. J'ai pour ma part regretté que le tribunal, manifestement serré par l'horloge, n'ait pas été un peu plus aggressif à l'encontre de la partie demandeuse qui en faisait des tonnes, et que le scénario n'ait pas été un peu mieux ficelé pour poser un contexte cohérent qu'on aurait retrouvé chez dans tous les témoignages. Ainsi, le Dr. Leroux, qui jouait le témoin de l'hôpital, apparemment absorbé par ses effets de manche, n'a pas hésité à écorner le scénario en affirmant que la faille avait été corrigée immédiatement après qu'elle fut signalée. Ce qui, en plus de créer un peu de bazar[1] et rendre l'histoire nettement moins intéressante à discuter, a complètement éludé la question de la négligence limite délictueuse de l'hôpital dans cette affaire... Dommage, le point aurait été fort intéressant...

Comme je le disais plus haut, l'accusé a été relaxé après une magnifique plaidoirie de son avocat qui allait même invoquer la force majeure, aucun chef d'accusation n'ayant été retenu contre lui par l'assistance. Je n'ai pas été de cet avis en répondant pour ma part ainsi :

  • pour ce qui est de l'accès frauduleux au système, j'ai répondu non coupable, puisqu'aucune technique ou attaque à l'encontre des système de l'hôpital n'a été mise en œuvre pour constater la faille et découvrir les systèmes impactés[2] ;
  • la mise à disposition n'est pas contestée par la défense qui invique le motif légitime, ce qui à quoi j'ai répondu coupable dans la mesure où il me semble que la publication des détails de la faille n'était absolument pas nécessaire pour obtenir l'effet espéré, cassant de facto la légitimité de la démarche ;
  • enfin, sur la mise en danger de la vie d'autrui, le témoin de l'hôpital, expert médical, ayant passé son temps à nous expliquer que les-dits respirateurs n'étaient qu'une aide et qu'on savait faire sans, que l'hôpital maîtrisait totalement la situation, elle me semble avoir été contredite de facto, le grief portant manifestement plus sur les millions perdus que des vies éventuellement mises en péril.

Enfin, pour ce qui est de la force majeure justifiée par le risque mortel encouru par les patients reliés aux appareils vulnérables, elle me semble difficile à retenir pour deux raisons. D'une part parce que la démarche n'est pas cohérente : la fourniture des détails de la faille revenant en effet à armer une personne malintentionnée, lui permettant de réaliser le crime qu'on prétend vouloir éviter. Ce qui rend à mon sens la réponse disproportionnée par rapport à la menace. D'autre part parce que d'autres pistes, jugées a priori inefficaces par le prévenu, n'ont pas été explorées, comme par exemple faire passer la remontée d'incident par un CERT. Et s'il était joueur, porter plainte contre l'hôpital pour, justement, mise en danger de la vie d'autrui du fait de leur négligence. En outre, il me semble que cette nécessite aurait constitué un excellent motif légitime si elle avait pu être retenue...

Bref, en ce qui me concerne, sans les détails de la faille, ça me paraissait tout à fait défendable. Mais là, non...


Ce débat s'est en tout cas déroulé dans une ambiance fort sympathique, et je remercie les organisateurs pour cet excellent moment. Les discussions ont évidemment continué leur cours quelques rues plus loin autour d'un traditionnel verre. En outre, ça aura été l'occasion de revoir quelques amis et confrères, et d'en rencontrer d'autre pour la première fois. C'est toujours sympa de pouvoir coller des visage sur des noms, voire des nicks ;)

Et puis j'y retourne, j'ai un compte-rendu d'Ekoparty à finir... Ce n'est pas comme si c'était il y a 15 jours :P

Notes

[1] Je tiens à ce sujet à m'excuser platement auprès de quelqu'un à qui j'ai sauvagement coupé la parole dans le feu de l'action :)

[2] Merci Google...