Informatique

Une start-up de la Station F condamnée après un scraping

Une start-up de la Station F condamnée après un scraping sauvage

On savait que l’enfer était pavé de bonnes intentions, on sait désormais que c’est également le cas de la Station F. Si Edbridg, une start-up de l’incubateur parisien, s’est en effet livrée à de hasardeux scraping, cette méthode contestée d’aspiration des données de sites web, c’était pour la bonne cause – et un peu de la faute du stagiaire.

L’entreprise vient d’être condamnée par le tribunal judiciaire de Paris à une amende de 2 000 euros pour un piratage informatique précédant le scraping. Ses deux dirigeants ont également été condamnés à une peine d’amende du même montant, mais avec sursis.

A l’automne 2020, alors que la start-up assure avoir attiré plus d’un million d’euros en levées de fonds, la réalité est moins rose. La jeune pousse, qui veut ouvrir les portes des écoles les plus prestigieuses aux hauts potentiels démunis de ressources financières en finançant leurs études sous la forme d’un prêt gagé sur les futures ressources des emprunteurs, s’est en fait heurtée au revirement d’investisseurs, échaudés par la crise sanitaire.

Résultat : l’entreprise tente de pivoter en décidant de démarcher des anciens élèves d’écoles prestigieuses pour un financement participatif. Mais elle le fait de la pire des manières. Plutôt que de solliciter des écoles de l’enseignement supérieur pour pouvoir récolter des adresses e-mails, elle tente tout bonnement de scraper des annuaires internes.

Ainsi, cette grande école de commerce parisienne voit soudainement en octobre 2020 et en mars 2021 son serveur fortement ralenti. Plus d’un million de requêtes, en provenance de la même adresse IP, ciblent l’annuaire de ses anciens élèves. Une base de données pourtant normalement uniquement accessible aux anciens.

Selon l’enquête de police, conduite par la brigade spécialisée de la préfecture de Police de Paris, c’est un stagiaire de la start-up qui a récupéré un couple identifiant-mot de passe permettant d’avoir accès à l’annuaire. « Bro, j’ai besoin de scraper les bases de données des écoles de commerce », explique-t-il alors à un ami, étudiant dans cette école.

Soit en réalité une intrusion dans un système de traitement automatisé de données, la définition légale du piratage informatique. C’est d’ailleurs le fondement juridique des poursuites contre l’entreprise, pas renvoyée devant la justice pour le scraping proprement dit. Deux autres écoles en France, qui n’ont pas porté plainte, auraient également été ciblées par la start-up.

Vitesse et précipitation

Après s’être platement excusé à la barre du tribunal, l’un des deux dirigeants a d’abord mis l’incident sur le dos de la « précipitation entrepreneuriale ». « On encourage nos stagiaires à être force de proposition », assure-t-il. Absent à l’audience, le stagiaire en question a toutefois affirmé lors de l’enquête que des instructions explicites lui avaient été données oralement par ses supérieurs.

Une fois en possession du login et du mot de passe valides, les dirigeants de la start-up ont ensuite missionné un freelance d’Upwork pour faire une copie des données, avec le résultat que l’on sait. « On ne sait pas écrire une ligne de code, c’est très grave dans la gestion managériale de recruter quelqu’un dont on ne maîtrise pas les compétences », a benoîtement admis l’un des deux dirigeants.

L’enchaînement des faits étonne le tribunal. Aucune demande de copie de l’annuaire des anciens n’a été faite auprès de l’école de commerce, pourtant en pourparlers depuis 2018 avec la start-up pour un partenariat. « Plutôt que de demander la permission, qu’ils auraient certainement eu, il y a cette attaque informatique violente, qui a persisté pendant des heures », regrette l’avocat du réseau d’anciens, Me Francois-René Lebatard.

Dans une interview publiée sur le réseau professionnel LinkedIn en mars 2020, soit avant l’ouverture des poursuites, le dirigeant de la start-up détaillait sa vision du scraping. « Tout ce qu’on peut automatiser, on l’automatise. Il vaut mieux passer deux jours à scraper automatiquement des adresses e-mails de campagne marketing ou de levée de fonds, que de passer je ne sais combien d’heures avec ses collaborateurs à faire la même tâche manuellement », disait-il alors.

Une affirmation douteuse qui résonne étrangement à la lumière de la mésaventure arrivée à l’école de commerce visée. Selon leur avocat, les deux dirigeants ont depuis mis en place un conseil de surveillance, réalisé un audit relatif au Règlement général de la protection des données (RGPD) personnelles et suivi une formation sur le droit des données personnelles pour éviter qu’un tel dérapage ne se reproduise.




Source link

Articles similaires

Laisser un commentaire

Bouton retour en haut de la page