Hackerz Voice, magazine du groupe DMP, est à nouveau dans le collimateur de la justice. En octobre 2001, "la voix du pirate informatique" avait déjà largement fait parler d'elle. Le journal révélait alors que les courriers électroniques des clients de onze fournisseurs de services de courriels gratuits - club-internet.fr, netcourrier.com, europe2.fr, voonoo.net, canalj.net, mcm.net, edumel.com, mcity.fr, azimail.com, pariscope.fr et lemonde.fr - pouvaient être interceptés et lus. La société Medianet (groupe Lagardère) apprécie alors modérément le scoop mettant en cause la sécurité de ses systèmes de messagerie. Lorsque Hackerz Voice annonce que les lignes de code permettant de pénétrer les serveurs seront publiées, Medianet (pourtant depuis longtemps informé de la faille) réagit et tente d'empêcher la publication par voie de justice. Finalement, les deux acteurs trouvent un terrain d'entente et l'affaire est close.

Mercredi 25 septembre, The Hackademy, l'école de piratage de Hackerz Voice, annonce dans un communiqué qu'elle a "détecté des trous de sécurité sur les sites gérant l'accès aux comptes en ligne" de onze banques. La Covefi, le Crédit agricole, la Société générale, le Crédit lyonnais, la BRED, la Caisse d'épargne, la Banque directe, le CIC, le Crédit du Nord, Zebank et le Crédit mutuel sont visés. "Il s'agit d'une faille élémentaire facilement exploitable…Nous avons prévenu les banques concernées afin qu'elles puissent corriger leur site", précise The Hackademy, qui conclut en invitant la presse à une démonstration le jeudi 26 septembre, à 19 heures.

Une démonstration qui n'aura pas lieu. En effet, une demi-heure avant la présentation, la police exécute une "descente" en règle au sein de la rédaction de Hackerz Voice. "Le directeur de la publication, Olivier Spinelli, le rédacteur en chef, Olivier Brotha, et plusieurs autres membres de la rédaction ainsi que des professeurs de The Hackademy ont été arrêtés", témoigne un membre de la rédaction. Les disques durs de plusieurs machines sont confisqués, et les responsables de la société ont passé vingt-quatre heures en garde à vue avant d'être finalement libérés vendredi 27 septembre, en fin d'après-midi.

"Dès que l'on tente de manière répétée, même sans y être parvenu, de pénétrer un système alors que l'on n'en a pas le droit, l'action frauduleuse est punie comme si elle avait été commise. Les propriétaires de sites sensibles disposent d'un arsenal répressif absolument clair", a commenté à l'AFP M^e Olivier Iteanu, président de l'Internet Society France.

Selon l'un des avocats des pirates, M^e Jean-Louis Langlois, la démarche de ses clients "visait à la protection des consommateurs". Pour sa défense, M. Spinelli a affirmé à l'AFP que "la faille est tellement élémentaire qu'elle ne nécessite pas d'intrusion sur les sites". "Notre communication initiale était un peu maladroite", a-t-il reconnu, après avoir été relâché.

Selon M^e Christiane Feral-Schuhl, auteur du livre Cyberdroit, "c'est une situation comparable à la publication sur Internet de la recette de la fabrication d'une bombe". "On livre des éléments permettant de réaliser des actes sanctionnables. Présenter et démontrer (les failles d'un site) à une assistance, c'est comme si on la conviait à un casse", estime cette avocate.

Une cellule interbancaire serait à l'origine d'une plainte pour intrusion informatique. "Nous avons prévenu toutes les banques de leurs défaillances trois semaines à l'avance", répète un piratin, étonné par leur riposte. "Nous avons été prévenus et nous avons fait ce qui était techniquement nécessaire", explique-t-on du côté du Crédit lyonnais. "Nous ne sommes pas hostiles à ce genre de pratique, car elle permet de tester la sécurité de nos systèmes à moindre coût. Bien sûr, nous préférerions nous en rendre compte en interne. Quoi qu'il en soit, nous ne sommes pas à l'origine de la plainte", ajoute-t-on encore au Crédit lyonnais.

Une analyse que ne partagent pas, semble-t-il, d'autres banques très susceptibles sur la publicité qui peut être faite quant à leurs failles de sécurité.

Eric Nunès