l’essentiel
Pompier volontaire et ancien employé du service informatique du SDIS 81, l’homme affirme avoir simplement voulu tester la sécurité de l’intranet utilisé par les pompiers tarnais. Le tribunal correctionnel d’Albi l’a condamné à 9 mois de prison avec sursis.
Acte bienveillant ou désir de nuire ? Le serveur intranet du service départemental d’incendie et de secours du Tarn (SDIS 81) a été « piraté » l’année dernière, entre le 19 et le 21 juin 2023, avec des connexions non autorisées et le dépôt de plus d’une centaine de dossiers sur le serveur. Cette intrusion, rapidement repérée, n’a pas nui à l’activité des pompiers mais le SDIS 81 a néanmoins porté plainte contre X.
Lors de l’enquête, la police a notamment identifié deux adresses IP qui accédaient à l’intranet : l’une qui est liée à une société américaine de sécurité informatique, l’autre à un ingénieur informaticien tarnais, spécialisé dans la cybersécurité. L’homme a travaillé jusqu’en 2017 au service informatique du SDIS 81, avec lequel il avait eu un litige porté devant le tribunal administratif pour être réintégré. Aujourd’hui dans le privé, il est également devenu pompier volontaire.
Arrêté et placé en garde à vue par les enquêteurs, l’ingénieur informaticien a reconnu lors des audiences avoir lancé un « scan de vulnérabilité » sur le serveur du SDIS, sans avoir été mandaté pour le faire. Il se présente comme un « white hat », un « hacker éthique » qui recherche les failles des systèmes informatiques pour contribuer à les réparer. Il nie toutefois avoir téléchargé des fichiers sur le serveur.
Poursuivi pour accès, conservation et introduction frauduleuse de données dans un système de traitement automatisé, le prévenu a été jugé le 6 juin par le tribunal correctionnel d’Albi. Face aux magistrats, il a usé de « son droit au silence ». Pour sa défense, Me Ledieu, avocat parisien spécialisé en droit du numérique, a expliqué que l’informaticien a pu accéder au serveur intranet grâce à des identifiants par défaut, « admin admin », ce qui ne constitue pas une infraction pénale selon lui. Accusant le SDIS 81 de « négligence », il assure également que le « maintien » de son client dans le système n’est pas caractérisé et que rien ne prouve dans la procédure qu’il a déposé les dossiers en question.
De l’autre côté de la barre, l’avocat du SDIS, constitué partie civile, a souligné “l’incompréhension et l’étonnement de l’establishment” face au silence de l’accusé à l’audience, l’interrogeant sur l’intention réelle de l’informaticien. . Si ce « piratage » n’a pas perturbé le bon fonctionnement de l’intranet du SDIS, les coûts liés à la mobilisation des techniciens s’élèvent à plus de 3 000 €.
Le tribunal a suivi les réquisitions de la procureure Stéphanie Bazart en condamnant l’informaticien à 9 mois de prison avec sursis. Me Ledieu a immédiatement annoncé son intention de faire appel.
