Tweeter

Tribunal de grande instance de Paris Ordonnance de référé 26 janvier 2009

Forever Living Products / Damien B.

accès- moteur de recherche - diffamation - fraude informatique - information - référé - sécurité

FAITS ET PROCEDURE

Vu l’assignation délivrée le 24 décembre 2008 par la société Forever Living Products (FLP) et ses conclusions ultérieures, suivant lesquelles il est demandé en définitive en référé de :

Vu l’article 809 du code de procédure civile,
– constater que les agissements de Damien B. constituent un trouble manifestement illicite, que celui-ci est mal fondé en sa demande reconventionnelle, et l’en débouter,
– faire interdiction à Damien B. de publier ou diffuser tous contenus, sous quelque forme que ce soit, se rapportant à la société FLP, sur internet ou tout autre support et dont zataz.com ou Damien B. seraient à l’origine,
– lui ordonner de détruire toutes données ou tous fichiers auxquels il a pu accéder sur le serveur FLP de manière non autorisée et en infraction avec le code pénal,
– dire que ces mesures, en cas de violation ou retard d’exécution, seront assorties d’une astreinte de 1000 € par jour de retard à compter de la signification de l’ordonnance, et que le juge des référés du Tribunal de grande instance de Paris sera compétent pour modifier et liquider l’astreinte,
– condamner Damien B. à payer à la société Forever Living Products la somme de 5000 € en application de l’article 700 du ncpc, et au paiement des dépens ;

Vu les dernières conclusions de Damien B., qui demande de :

Vu l’article 11 de la Déclaration des Droits de l’Homme et du Citoyen, l’article 10 de la Convention Européenne de Sauvetage des Droits de l’Homme et des Libertés Fondamentales, la loi du 29 juillet 1881 relative à la liberté de la presse, l’article 6 de la loi pour la Confiance dans l’Economie Numérique, les articles 1184, 1134 et 1382 du code civil, 48, 809 du code de procédure civile,
– dire n’y avoir lieu à référé en l’absence de trouble à caractère manifestement illicite, et d’obligation qui ne soit sérieusement contestable,
– débouter la société Forever Living Products de toutes ses demandes et prétentions, à toutes fins qu’elles comportent,

Reconventionnellement,
– constater que la société Forever Living Products ne démontre ni l’existence ni la matérialité du moindre acte frauduleux qu’aurait commis Damien B.,
– condamner la société Forever Living Products à payer à Damien B. la somme de 6000 € au titre de l’article 700 du ncpc, à lui payer la somme de 6000 € pour procédure abusive, et au paiement des dépens de l’instance, y compris les frais de constat d’huissier ;

DISCUSSION

La société Forever Living Products expose qu’elle a pour activité la fabrication et la distribution de produits à base d’Aloe Vera, et se place au rang de premier producteur, manufacturier et distributeur de ce produit au monde.

Le 2 octobre 2008, Damien B., fondateur et rédacteur en chef du site internet zataz.com, contactait par téléphone la société FLP pour l’informer d’intrusions sur un de ses serveurs, en signalant une faille de sécurité informatique qui aurait permis ces intrusions.

Par la suite, elle constatait à partir du 7 octobre 2008 la publication par Damien B. sur son site d’un article intitulé « Données bancaires en accès libre chez Forever Living Products France », avec comme accroche « Exclusif : le premier producteur mondiale d’Aloe Vera avait un disque dur connecté sur internet bourré de données bancaires et informations sensibles ».

Elle ajoute que l’article comporte notamment une vidéo indiquée comme ayant été mise en ligne le 6 octobre 2008 sur le site YouTube par le site « Zatazdotcom », et porte le titre « Données sensibles sur protection sur internet »,

Il y est prétendu qu’à la suite d’une faille de sécurité détectée par un internaute, Damien B. a pu découvrir en accès libre un ensemble de données de la société FLP, notamment bancaires et comptables, la vidéo présentant à l’appui des données de manière floutée.

La société FLP s’appuie sur un procès verbal de constat dressé à la requête le 22 octobre 2008 par huissier, qui constatait la publication de cet article litigieux sur internet, associé au fichier vidéo, et sur un deuxième procès verbal dressé le 23 octobre 2008 au sein de la société FLP décrivant le serveur ayant fait l’objet des intrusions, les fichiers Logs IIS répertoriant l’historique de l’activité de ce serveur et les copiant, ainsi que les fichiers et répertoires susceptibles d’avoir été consultés.

L’ensemble était remis par l’huissier à un expert en informatique agréé par la Cour de cassation pour analyse des éléments techniques ainsi recueillis et des conditions de l’intrusion, et la société FLP fait valoir qu’il en résulte clairement le fait que contrairement à ce que prétend Damien B., l’accès aux données du serveur de la société FLP n’était pas libre, mais protégé par différentes mesures de sécurité (accès limité aux seuls utilisateurs autorisés par login et mot de passe, pare-feu, etc.), de sorte que Damien B., pour s’introduire sur le serveur, avait dû réaliser des actes préparatoires et des manipulations techniques.

Les fournisseurs d’accès concernés par les adresses en questions fournissaient, après autorisation donnée par ordonnance sur requête du 8 décembre 2008, l’identité d’un dénommé Claude X… pour la première se terminant par les chiffres 37, et Damien B. comme le titulaire de la deuxième se terminant par les chiffres 31.

La société demanderesse en conclut au fait que Damien B. a accédé frauduleusement à son serveur, a ainsi gravement porté atteinte à la sécurité de son réseau, et s’y est maintenu pour télécharger des fichiers sensibles de la société FLP pour ensuite les mettre en ligne sous la forme de vidéo YouTube apparaissant au sein de l’article litigieux.

Evoquant la qualification pénale pouvant être donnée à ces faits et les dispositions de l’article 323-1 du code pénal, la société FLP soutient que les informations confidentielles de la société ainsi obtenues ont été mises en ligne sur le site afin d’illustrer un article dont les éléments factuels sont à ses yeux volontairement erronés et visent à lui nuire, en mettant en exergue des défaillances de sécurités.

La société FLP ajoute que mis en demeure de procéder au retrait des contenus en question par lettre du 10 décembre 2008, Damien B. ne s’exécutait pas, et fait état d’un trouble manifestement illicite que le juge de référés a le pouvoir de faire cesser par application de l’article 809 du code de procédure civile, sans préjudice de toute action visant à réparer le préjudice consécutif à la mise en cause diffamatoire de la requérante par le défendeur.

Damien B. se présente comme journaliste, fondateur et rédacteur en chef du site zatag.com consacré aux problèmes des réseaux informatiques, et explique qu’en fin septembre 2008, un lecteur du site lui communiquait une information selon laquelle il était possible d’accéder à des données sensibles appartenant à la société Forever Living Products France grâce à un moteur de recherche, lui demandant si cet accès lui paraissait normal.

Il précisait qu’il était possible d’accéder à un serveur internet sans qu’aucune restriction n’y soit mise, telle qu’un avertissement interdisant de visiter cet espace, ou la réclamation d’un mot de passe.

Constatant ainsi le 29 septembre 2008 l’absence de toute restriction d’accès à ces données, Damien B. explique qu’il visitait cet espace, en se bornant à utiliser pour ce faire les seules fonctionnalités de son navigateur grand public internet Explorer, en rentrant cette adresse dans la barre adéquate.

Il veut pour preuve de sa bonne foi, le fait qu’il a conservé son adresse IP originale lors de cette visite, et souligne le fait que des données sensibles, bancaires et comptables étaient librement accessibles via des sous-dossiers à la dénomination très explicite.

Il explique avoir alors contacté par téléphone la société Forever Living Products France, puis par courrier électronique, et précise lui avoir adressé le 2 octobre 2008 à 16 heures 52 un troisième courrier électronique aux adresses transmises par téléphone par le service presse de celle-ci, pour lui signaler ces faits, en citant l’adresse des fichiers de sauvegarde ; il recevait le 7 octobre 2008 à 14h18 un courriel de remerciement.

Il lui apparaît dès lors légitime d’avoir publié l’article mis en cause, après s’être assuré de la correction opérée par la société, afin d’informer les clients de cette entreprise pour qu’ils s’assurent de l’absence d’exploitation de leurs données bancaires par des pirates informatiques.

Il ajoute qu’à réception de l’acte introductif, il décidait de tenter d’identifier l’internaute qui l’avait informé, mais en vain, et visitait à nouveau le site du moteur de recherche évoqué, pour constater qu’il référençait toujours l’adresse ftp du serveur de la société Forever Living Products.

Il fait valoir qu’il suffisait d’adresser requête utilisant des mots clés, comme « virements historique », à ce moteur pour obtenir l’adresse ftp du serveur, et afficher la liste de fichiers ainsi référencés, et soutient en citant l’adresse développée au 28 septembre 2008 qu’il est ainsi démontré qu’il suffit pour cela d’un clic sur le lien.

Invoquant l’absence d’urgence et d’évidence, il demande de dire qu’il n’y a pas lieu à référé sur les demandes de la société Forever Living Products, en l’absence du moindre élément pouvant constituer une atteinte caractérisée à ses droits comme du moindre trouble manifestement illicite.

Précisant que l’article mis en cause n’est plus en ligne, il conteste s’être frauduleusement introduit dans la base de données du demandeur, et invoque le nécessaire respect du principe, à valeur constitutionnelle, de la liberté d’expression, en laissant valoir que l’article rédigé était parfaitement neutre et équilibré.

Il conteste l’existence d’un quelconque acte préparatoire ou manipulation technique, et s’appuie sur une copie d’écran, qui établit à son sens que le 2 octobre 2008 correspond à la date à laquelle il a souhaité constater à quoi correspondait un fichier, référencé par le moteur de rechercher, accessible à l’aide du simple navigateur Firefox sur un serveur de Forever Living Products France suivant mention dans la barre Netscraf.

S’agissant de la vidéo accompagnant l’article, diffusée via YouTube, réalisée au format Windows Media Video, il faut valoir qu’elle renforçait les indications de l’article.

Il souligne le fait qu’il a rendu illisible les informations susceptibles d’être exploitées par un pirate, comme dans la barre Url l’adresse IP du serveur et les noms de répertoires figurant sur la vidéo, et a ainsi protégé les personnes, entreprises et leurs numéros de comptes en ne laissant apparaître que le nom des banques des clients pour bien démontrer le danger de cet accès libre, sans permettre en aucune manière de télécharger le moindre document.

Il oppose le fait que toutes les pièces versées par la société Forever Living Products au soutien de ses demandes, y compris un rapport d’expertise, se basent sur des éléments constatés après correction rétablissant la sécurité, et qu’il résulte de la conclusion des logs la preuve que le moteur de recherche indiqué a été le premier à constater la faille le 11 septembre 2008, et Damien B. prétend avoir été informé le 29 septembre par un internaute de l’absence de correction au 28 septembre, à 03 heures 22.

Il explique que la mention « user anonymous » dans les logs signifie que l’accès au serveur FTP n’était pas restreint par mot de passe, l’adresse de messagerie identifiant le robot du moteur de recherche évoqué suffisant à donner, après connexion, accès à un espace disque indépendant du « file system » général, et pour l’accès qu’il a lui-même obtenu, l’adresse correspondant au navigateur firefox qu’il utilise.

Situant dans le journal des logs l’intervention de la correction, il s’étonne du fait que le 3 octobre 2008, des accès étaient à nouveau possibles sans mot de passe, une des adresses IP appartenant à la société FLP, et relève qu’au moins une deuxième personne, que la demanderesse n’a pas poursuivi, a pu avoir accès au serveur.

Le défendeur considère que le grief d’accès frauduleux à la banque de données et de maintien sur celle-ci ne peut lui être opposé, en l’absence de mesures visant à empêcher l’accès non autorisé aux répertoires informatiques, et dès lors qu’il a utilisé un logiciel grand public de navigation, les parties du site concernées devant être réputées non confidentielles à défaut de toute restriction ou indication contraire.

En s’exprimant d’autre part librement sur les failles qu’il avait constatées, Damien B. considère n’avoir inscrit son action que dans le cadre d’un strict exercice de sa liberté d’expression, dans un but polémique et non commercial, dans que jamais les personnes ne soient visées, les produits de la société visés ou objet de dénigrement, et sans induire en erreur le public quant à l’identité des auteurs de la communication.

Damien B. fait valoir qu’à la première demande de la société Forever Living Products, il a retiré l’article, qui n’est donc plus en ligne depuis.

Il n’estime pas plus fondé de demander la destruction de données et fichiers sans en donner ni la liste, le contenu, la teneur, et alors que celles-ci étaient en accès libre.

La société Forever Living Products souligne en réplique que l’existence éventuelle de contestations sérieuses est sans incidence sur l’application de l’article 809 alinéa 1 du code de procédure civile.

S’appuyant ensuite sur un rapport complémentaire en date du 13 janvier 2009 de l’expert, elle fait valoir que le moteur de recherche évoqué n’est pas un moteur « grand public », et relève que Damien B. prétend n’avoir utilisé le navigateur internet qu’après utilisation de ce moteur professionnel, caractérisant la réalisation préalable d’actes préparatoires à la recherche délibérée de failles de sécurité, et à son sens le caractère frauduleux de l’accès.

Elle conteste le fait que la simple utilisation d’un compte d’utilisateur « anonymous » a pu être utilisé pour accéder au serveur, puisque celui-ci a su écarter un grand nombre de tentative d’accès par ce moyen, et soutient que l’analyse des fichiers « logs » révèle que d’autres manipulations que la simple utilisation du moteur cité ont été nécessaires ; elle ne veut pour preuve le fait qu’une tentative de cet ordre ayant échoué le 28 septembre 2008, c’est par l’utilisation du mot de passe correspondant à l’adresse électronique du navigateur que le premier accès frauduleux a été possible le 29 septembre.

Elle souligne encore le fait que l’expert a pu relever les mesures de sécurité existant antérieurement à l’intrusion, son rapport faisant ressortir que l’informaticien, après celle-ci, a simplement déplacé l’ensemble des fichiers depuis le serveur visé vers un autre.

Elle réfute au total la prétention suivant laquelle le serveur aurait été d’accès totalement libre, et les données rendues disponibles grâce à un simple clic de souris, et soutient que la remise en ligne de l’article ne saurait être autorisée.

Damien B. souligne le fait que le moteur est accessible à tous, et n’a référencé que des informations en accès libre, comme en l’espèce le répertoire (directory) et les dossiers accessibles, versant de nouvelles pièces à l’appui de cette position, faisant à son sens apparaître que ce moteur a permis de vérifier que le sommaire était toujours accessible. En cliquant sur le lien, Damien B. explique avoir ainsi obtenu la preuve du fait que les données référencées étaient bien sensibles.

Il insiste sur le fait que le terme « anonymous » signifie que l’accès n’est pas protégé par mot de passe, et précise que c’est le code technique du navigateur qui s’affiche, et non une adresse électronique.

Attendu qu’aux termes de l’article 809 du code de procédure civile, il peut toujours être prescrit en référé, même en cas de contestation sérieuse, les mesures conservatoires ou de remise en état qui s’imposent, soit pour prévenir un dommage imminent, soit pour faire cesser un trouble manifestement illicite ;

Que les demandes s’apprécient au moment où la juridiction statue ;

Attendu que la société Forever Living Products France ayant délivré le 6 janvier 2009 une citation directe à l’encontre de Damien B. devant le tribunal correctionnel, alléguant le caractère diffamatoire de la publication en question, c’est à cette juridiction saisie au fond qu’il appartiendra d’apprécier en considération des moyens opposés de part et d’autre, si celui-ci a ou non outrepassé les limites de la liberté d’expression ;

Attendu que Damien B. précise avoir procédé au retrait de l’article mis en cause, « illustré par vidéogramme », du site accessible à l’adresse www.zataz.com, ce qui n’est pas contesté ;

Qu’il s’agit dès lors pour le juge des référés d’apprécier les demandes tendant à interdire au défendeur la publication ou diffusion de tous contenus se rapportant à la société FLP, et à lui ordonner de procéder à la destruction de toutes données ou tous fichiers auxquels il a pu accéder sur le serveur de la société demanderesse ;

Que pour envisager de prendre ces mesures provisoires, il s’agit dès lors seulement d’examiner l’existence éventuelle d’un trouble à caractère manifestement illicite persistant, pouvant résulter du type de processus mis en œuvre par Damien B. pour accéder aux données de la société FLP ;

Attendu qu’il peut être relevé en premier lieu que le défendeur revendique une expérience de journaliste spécialisé dans les problèmes de réseaux informatiques, le site dont il est le fondateur et le rédacteur en chef révélant notamment l’insuffisance de protection des données contenues dans les systèmes de traitement automatisé d’informations reliées au réseau internet, avec l’objectif affirmé de venir en aide aux sociétés ou collectivités concernées ;

Que pour autant, il indique lui-même que c’est un tiers qui lui révélait les fonctionnalités d’un moteur de recherche – qu’il n’est pas utile pour le débat de nommer ici -, présenté comme à usage professionnel (page 5, pièce 11) permettant d’accéder à des données sensibles ; qu’il ne peut contester sérieusement que ce moteur n’est pas connu du grand public, même si celui-ci peut en faire usage, en accédant à un site non hébergé dans l’un des Etats membres de l’Union Européenne ; qu’il n’est pas soutenu que cet outil logiciel présente toutes garanties de respect dans ses processus des principes applicables en France, notamment en matière de protection des données personnelles ou des droits d’auteur ;

Que le défendeur n’est donc pas capable de démontrer qu’il a conservé la maîtrise sans solution de continuité du processus l’ayant conduit jusqu’aux données du serveur ; qu’il précise ainsi n’avoir pu identifier son informateur, qui évoquait auprès de lui aussi bien le nom de la société ciblée que les termes exacts de la requête à adresser au moteur ; qu’il n’est donc nullement évident à l’examen des pièces communiquées de conclure à l’absence de mise en œuvre en amont d’un processus de ces éléments apparemment banals d’identification des données elles-mêmes, l’adresse ftp du serveur de la société sur lequel elles se trouvaient stockées ; que la société demanderesse justifie à cet égard d’un trouble manifestement illicite en résultant ;

Que l’échec rencontré par les auteurs de tentatives de connexions anonymes, constaté par l’expert à l’examen des fichiers logs depuis le 10 septembre 2008 (pages 19 pièce n°4), mises en œuvre en particulier depuis la Russie (page 12, 20) et la Turquie, accrédite le fait que celles-ci n’étaient pas autorisées comme il apparaît dans la rubrique des comptes de sécurité du serveur (page 9) ; que de plus, le défendeur ne démontre nullement que le seul affichage comme mot de passe de l’adresse de courriel du moteur ci-dessus évoqué a permis de donner accès au serveur les 11 et 28 septembre ; qu’enfin, c’est l’autre utilisateur identifié par la première adresse IP (se terminant par les deux derniers chiffres 37) qui a réussi en premier lieu le 29 septembre à obtenir l’accès, traduit par l’affichage en guise de mot de passe, de l’adresse électronique (pièce n°12 du défendeur) d’un navigateur, autre qu’internet explorer évoqué dans les écritures du défendeur (page 2) ; que l’accès n’a pu être obtenu à l’aide de l’adresse IP se terminant par les chiffres 31 identifiant Damien B., à l’aide du même mot de passe ; que le 2 octobre suivant, deux minutes et vingt-trois secondes après la fin d’une nouvelle connexion obtenue de la même manière par l’utilisateur s’identifiant par l’adresse IP citée ci-dessus (pièce n°4, annexe 2, page 2) ;

Qu’il peut en outre être relevé que le défendeur a cru devoir effectuer des copies des écrans affichant les données confidentielles en question pour les présenter, après les avoir rendues floues pour l’essentiel, les dénominations des établissements bancaires restant apparentes, sous forme de vidéo accompagnant l’article lui-même ; que cette action suppose un chargement des images correspondantes, de nature à laisser la société demanderesse craindre qu’il a pu conserver en sa possession le document d’origine (pièce n°9 du défendeur), le constat que celui-ci a fait dresser le 5 janvier 2009 n’attestant que du retrait de l’article accompagné de la vidéo du site zataz.com qu’il exploite ;

Attendu que l’ensemble, quelle que soit la bonne foi avec laquelle le défendeur affirme avoir agi, constitue dans cette mesure un trouble, dont le caractère est manifestement illicite, et qu’une injonction délivrée en tant que de besoin à Damien B., qui affirme n’avoir rien conservé en sa possession, est de nature à faire cesser dans les conditions précisées au dispositif de cette décision ;

Sur les autres demandes

Attendu qu’au regard des motifs qui précèdent, le défendeur n’établit nullement que le droit d’agir en justice de la société Forever Living Products France a pu dégénérer en abus,

Que la demande reconventionnelle de Damien B. en ce sens sera rejetée ;

Qu’il apparaît inéquitable de laisser à la société Forever Living Products France, conduite à agir en justice pour obtenir qu’il soit fait droit à l’essentiel de ses demandes, la charge de ses frais irrépétibles ;

Que Damien B. sera condamné à lui verser à ce titre la somme de 1200 € ;

Que les dépens seront laissés à sa charge ;

DECISION

. Condamnons Damien B. au paiement des dépens, et à payer à la société Forever Living Products France la somme de 1200 € en application des dispositions de l’article 700 du ncpc.

Le tribunal : M. Emmanuel Binoche (président)

Avocats : Me Anne Dumas-L’Hoir, Me Murielle-Isabelle Cahen

Notre présentation de la décision

Voir décision de cour d’appel

Voir décision du TGI Paris