Question juridique - Développeur va en fraude dans l'admin de son client

Bonjour, j'ai besoin d'un renseignement Svp. Je ne sais pas trop où me renseigner, mais je pense que sur ce forum il y a quelques connaisseurs. Ce n'est pas une question technique de codage. Mais + une question administrative, juridique.

Un client (quelqu'un de ma famille) avais payé un site (un site chère, sur mesure en PHP brut, avec un CMS sur mesure comme espace d'administration), qui aurai du être fini il y a + d'un an (mais le retard est encore un autre problème que celui que je viens vous parler aujourd'hui).

Le client n'étant pas du métier, est passé par une agance web.

_Est ce que c'est légal, que le développeur + le commercial de cette agence continuent d'aller dans l'admin d'un site qu'ils ont vendu, alors que le client avais dit par téléphone au commercial qu'il ne voulais que plu personne aient accès à l'admin (ni le commercial, ni le développeur de l'agence web) ?

Dans l'admin du site, il y a une page où on voit la liste des utilisateurs de l'admin (avec un boucle en PHP j’imagine). Dans cette liste, il y a bien sur le client, et il y avais aussi le commercial + le développeur de l’agence web. Et dans cette liste, il y a un champs "dernière connexion", donc le client voyais que le commercial + le développeur allaient régulièrement dans l'admin du site (ils avaient besoin d'aller dans l'admin pour par exemple corriger les éventuel beugs…). La OK, a cette époque, en Mars 2015 il en avaient le droit d'avoir accès à l'admin

Donc par la suite, le client leur a demander de supprimer leurs comptes, car il voulais que plu personne à par lui aient accès à l'admin du site. Et effectivement on ne voyais plu leurs comptes dans la liste des utilisateurs, depuis plusieurs mois. Donc évidemment, le client pensais que le commercial et que le développeur de l'agence avaient bien supprimés leurs comptes comme convenu.

Mais hier je vais voir ce client (car c'est quelqu'un de ma famille). Il se met a me parler de son site, et étant donné que je suis "apprenti" développeur PHP je décide d'aller faire un tour dans sa BDD comme ça. Et dans sa BDD, on se rends compte que les comptes utilisateurs du commercial + celui du développeur sont encore actifs. Et le pire c'est qu'ils continuent, encore aujourd'hui en Novembre 2015, de ce rendre en fraude dans l'admin du site de leur client… On le voit grâce à la colonne "last_connexion", dans la table users dans la BDD.

Dans le fichier php où est affiché la liste des utilisateurs de l'admin, j’imagine que le développeur a donc du rajouté une condition en PHP (que si c'est lui ou le commercial de l'agence, ne pas afficher dans la liste des utilisateurs…).

Je trouve que ça fait un peu, pour ne pas dire beaucoup Désordre, non ? Le client évidement n'est pas content, ça été un grosse mauvaise supprise pour lui.

Déjà le site a du retard, (ils l'ont mis en ligne en Janvier 2015, pas fini, et aussi avec des bugs…). Le site aurai du être finie en Novembre 2014, mais vu que dans le contrat, le client faisant confiance à l'agence n'a pas fait signé de délai, donc il n'a pas osé porté peinte. Mais la, cette histoire (que je trouve grotesque), c'est peut être la grosse goutte d'eau qui fait déborder le vase…

Et l'agence web ne se doutais pas qu'il connaissais un jeune apprenti développeur comme moi, qui allais fouillais dans la BDD.

_Ce n'est pas un peu de l'"espionnage" ? Le client peut-il porter plainte ?

Je précise que l’hébergement + le nom du domaine + le FTP, est uniquement au nom du client, et non au nom de l'agence web.

Merci beaucoup

Article 323-1 :

« Le fait d'accéder ou de se maintenir, frauduleusement, dans tout ou partie d'un système de traitement automatisé de données est puni de deux ans d'emprisonnement et de 60 000 € d'amende. » Source, LegiFrance

Maintenant, la vraie question est à t-il intérêt à porter plainte ? il faut des preuves, certifié par quelqu'un (huissier, policier, avocat, …). Un avocat ça coûte très cher. Je ne vois pas en quoi ça porte préjudice à la victime ce qu'ils ont fait, donc la réparation ordonné va être très faible.

Pour moi, le temps investi + argent investi + risques, ça vaut vraiment pas le coup.

Je crois qu'il existe des médiateurs pour aider à gérer ce genre de litige à l'amiable avant de se lancer dans un long et couteux procès.

Mais avant toute chose, je recommande à ton ami de faire une copie de son site, histoire d'éviter des ennuis potentiels.

Pour finir, si tout est hébergé chez vous et que tu as un accès admin, ne peux-tu pas virer les accès admin des deux responsables de l'agence web ?

Pour le côté plus légal de la chose (même si je pense que Hugo a raison), y'a Arius qui en connait un rayon.

Merci pour vos réponses. Et aussi merci d'avance pour les éventuels futurs réponses que je lirai attentivement.

Les copie du sites sources du FTP + sauvegarde de la BDD, ont été faite.

On a la preuve qu'avant avril 2015 le commercial + le développeur de l'agence étaient bien affichés dans la liste des utilisateurs (une sauvegarde du FTP + une sauvegarde de la BDD avait été faite en Mars 2015). Mais avant Avril 2015 ils en avaient le droit. Mais vu qu'il n'ont plu du tout travaillé sur le projet depuis Janvier 2015, le client leur a demandé (par téléphone, pas par papier écrit signé…) en Avril 2015 de supprimer leurs comptes, vu qu'ils n'ont plu rien à faire dans l'admin (ils veulent plu travailler sur le site du client, bin ils n'ont plu a regarder ce qui ce passe en admin… c'est privé).

Et on a aussi la preuve qu'ils se sont masqués de la liste des utilisateurs après Avril 2015 (pour faire croire qu'ils se sont supprimés de l'admin), et qu'ils continuent d'aller en fraude dans l'admin (une autre sauvegarde du FTP BDD a été fait hier). Et je n'ai pas du tout touché le fichier php de la liste des utilisateurs pour éviter d'éventuels problèmes.

Je reprécise que le client à 100/100 le propriétaire du FTP et du Nom de domaine, et que c'est lui qui héberge le site sur un mutualisé en son Nom.

Par contre, être le propriétaire du nom de domaine + du FTP où sont les sources .php du site, est ce que ça lui donne droit de faire dans le futur reprendre le projet par quelqu'un d'autre ? ça c'est un autre débat. de tout façon dans le cahier des charges, le client m'a dit en insistant que c'est écrit noir su blanc que l'achat du site comprend aussi les sessions de droit d'auteurs.

par téléphone

A l'oral = aucune valeur juridique. Le minimum est un mail (sans valeur de preuve je crois), mais si le problème persiste, il faut passer par le courrier recommandé avec AR avant de penser à une démarche juridique.

étant donné que je suis "apprenti" développeur PHP

Es tu prêt à faire un témoignage devant un tribunal, face à un "informaticien experts agréé judiciaire par une cour" ? Probablement que non. La première chose à faire avant de faire une démarche juridique sera de prendre un avocat (cher). La second sera problablement d'appeler un "informaticien expert juridique" qui pourra faire des constations présentables devant une cour (cher aussi).

Tout le reste, va dépendre du contrat. S'il est marqué dedans "autorise l'accès au site pour des besoins de maintenance" ou équivalent, ils sont couverts légalement.

Pourquoi auraient-ils fait ça ? Je ne mets pas en doute ce que tu dis : si la DB l'indique, c'est qu'effectivement ils sont venus. Mais quel intérêt ont-ils à faire ça ?

Ce que je serais d'avis de tenter :

1. Vérifier les clauses contractuelles pour être sûr qu'il n'est fait mention d'un accès pour maintenance ou quelque chose du genre
2. Puisque, dans le cas contraire, cela constitue une intrusion répétée et maintenue dans un système informatisé (et c'est pire s'il y a des données privées), je t'invite à lui conseiller d'aller voir un avocat pour rédiger une mise en demeure leur intimant de cesser l'intrusion sous peine de poursuite devant les juridictions pénales (de préférence, il sera bien mieux placé pour se montrer convaincant et pourra évaluer si cela vaut la peine ou non de lancer une procédure en justice s'il y a des données privées ou que cela peut potentiellement causer un préjudice économique ou de réputation par rapport à ses clients) ou de rédiger lui-même une mise en demeure (je ne recommande pas cette option, l'avocat est plus apte et va le conseiller en tant que "premier juge" (= il va évaluer la faisabilité d'une action en justice)). Lettre à envoyer par courrier recommandé avec avis de réception, ce qui permet d’établir que la mise en demeure est parvenue au destinataire.
3. S'ils ne réagissent pas ou refusent, dans ce cas la suite logique est la procédure en justice. Je ne détaille pas/donne pas de conseils (sur) ce point, c'est de la compétence (monopole) de l'avocat.

Pourquoi auraient-ils fait ça ? Je ne mets pas en doute ce que tu dis : si la DB l'indique, c'est qu'effectivement ils sont venus. Mais quel intérêt ont-ils à faire ça ?

Vol de données clients, par exemple.

Ou, si on ne veut pas préjuger de la mauvaise foi de la société web, pour se prémunir des procès

pour être sûr qu'il n'est fait mention d'un accès pour maintenance ou quelque chose du genre

En quoi une telle cause serait un problème ? Il serait du ressort de la société de prouver que les connections étaient faites dans un but de maintenance non ?

Je suis aussi d'avis que le mieux serait de contacter un médiateur pour régler le problème à l'amiable. Si ce n'est pas possible, là seulement voir une mise en demeure rédigée avec un avocat pour s'assurer qu'elle est crédible. Si a partir de là rien n'évolue il sera tjrs temps de réfléchir à une action plus conséquente.

En quoi une telle cause serait un problème ? Il serait du ressort de la société de prouver que les connections étaient faites dans un but de maintenance non ?

Oui mais c'est important pour juger de la gravité de la situation.

Je suis aussi d'avis que le mieux serait de contacter un médiateur pour régler le problème à l'amiable. Si ce n'est pas possible, là seulement voir une mise en demeure rédigée avec un avocat pour s'assurer qu'elle est crédible. Si a partir de là rien n'évolue il sera tjrs temps de réfléchir à une action plus conséquente.

Souvent, les avocats sont aussi des médiateurs mais les faits me semblent suffisamment important pour se montrer un peu plus agressif. S'ils répondent favorablement à une mise en demeure, il se mettront en conformité et voilà, plus de problème pour personne.

Bonne question. On est dans le domaine pénale (accès frauduleux a un système informatique) ou civile (non respect d'un contrat) ? (Voire les 2 ? Il est possible que ce soit a l'avocat de qualifier la demande qu'il fait… et s'il se plante, sa demande peut être rejetée directement sans être jugée, non ?)

Cela va influencer qui doit apporter les preuves.

D'ailleurs, pour les preuves, quelle est la valeur des fichiers de log de la BDD ? A priori, c'est un simple fichier, qui peut être modifier sans trace par n'importe qui qui a un accès FTP. Du coup, est-ce vraiment une preuve ?

Une preuve "acceptable" devant un tribunal pourrait être la saisie des ordis de la société, pour prouver l’accès frauduleux… ce qui me semble compliqué (peut être fait qu'a la demande du juge, nécessite un expert juridique nommé par la cours… cela fait beaucoup).

La voie juridique me semble très compliquée, très chère, très hasardeuse et très longue.

Il y a aussi les logs du serveur. Puisqu'il s'agit d'un mutualisé, ils sont uniquement accessibles en lecture (sauf par l'hébergeur) et donc plus facilement certifiables.

Par contre avant d'hurler à la fraude, il faut se demander si l'agence en question n'a pas agit par conscience professionnelle : si le contrat prévoit une période de maintenance, par exemple, il est fort probable qu'ils se connectent de façon régulière pour vérifier que tout fonctionne.