Journal d'un avocat

1. Le mardi 15 mars 2005 à 18:46 par YoXiGeN

Je croyais (lu ds un autre article...) que l'on avait retenu seulement le fait d'avoir utilisé de logiciel sans licence dans la condamnation de Guillermito... Mais en fait, ici, si je comprend bien, il est bel et bien déclaré coupable du délit de contrefaçon, c'est ça ?

Alors finalement, qu'en est il du Full Disclosure ?

Le full disclosure n'est pas condamné par cette décision. L'auteur de la révélation devra prendre garde de rester dans les limites de la légalité : travailler sur une version licite du logiciel où la faille est révélée, et ne pas modifier ce programme tel que l'entend l'article L.122-6-1 du CPI (je n'entre pas dans la distinction entre décompilation, désassemblage et réassemblage, je n'y comprends goutte).

Eolas

2. Le mardi 15 mars 2005 à 19:17 par Zenitram

Ca me fait bien rire (à en pleurer?) :
- En gros, Tegam affirme que son logiciel est inviolable, même si on le modifie.
- On lui prouve le contraire (si on le modifie, il est violable), hop on se prend un procès car on ne respecte pas le droit.

Certes Guillermito a fait quelque chose d'illégal, mais il a été incité à la faire pour démontrer que Tegam mentait... Est-ce que ça aurait pu être une piste à suivre pour l'avocat?

Maintenant, effectivement, les pirates ne feront pas la même chose pour désactiver ViGuard vu qu'un juge a indiqué que c'était illégal ;-)

L'excuse de provocation n'existe plus en droit français. Le fait que quelqu'un, surtout un journaliste, vous provoque à commettre un délit en disant "t'es pas chiche !" n'est pas une excuse pour la commission de ce délit. Par contre, cela peut être pris en considération pour la peine, si la provocation était malhonnête.

Eolas

3. Le mardi 15 mars 2005 à 19:37 par yves

Merci, Maître, c'est très instructif.

J'avoue ne toujours pas comprendre pourquoi le droit de courte citation à des fins d'études ou de recherche n'a pas été mis en avant par Maître Iteanu. il me semble que c'est exactement ce qu'à fait guillermito...

Ce droit de courte citation ne justifiait pas le téléchargement en warez de ViGuard. Cela pouvait éventuellement justifier la reproduction d'une partie du code dans les proofs of concept, mais une contrefaçon restait constituée. Maître Iteanu a soulevé cet argument, le jugement y répond implicitement en considérant que ce qu'a fait Guillermito (se fiant sur ce point à l'expertise) allait bien plus loin qu'une simple "courte citation" à caractère polémique et pédagogique.

Eolas

4. Le mardi 15 mars 2005 à 21:00 par yves

Il me semblait avoit compris de vos compte-rendu d'audience, à vous à et Veuve Tarquine, que ce fichu rapport d'expertise était tellement controversé que l'avocat de Tegam, (et par suite le procureur) avait cru bon de s'appuyer plutôt sur de soi-disants aveux de Guillermito pour demander une condamnation.

Dans ces conditions, G. ne devrait-il pas songer à faire appel de ce jugement inique?

5. Le mardi 15 mars 2005 à 23:19 par Roland Garcia

Le tribunal dit "il s’agit bien en l’espèce d’un cas avéré de modification et de réassemblage de tout ou partie de logiciel ... qu’il s’agisse de fichiers de définitions de virus, ou de parcelles décompilées, il s’agit bien d’une utilisation et d’une adaptation du logiciel source".

Or un éditeur de logiciel anti-virus prend toujours un "logiciel source" dont il n'a pratiquement jamais "acquis les droits", et par une "utilisation et une adaptation" en extrait puis met à disposition un "fichier définition de virus", certainement pas dans un but de "modification à des fins de compatibilité" mais dans un but tout à fait contraire.

6. Le mercredi 16 mars 2005 à 00:10 par E.

A Roland Garcia :

Mais le CPI tout entier a été conçu dans le but de proteger les intérêts économiques des créateurs de logiciels. Or là en espèce nous avons une utilisation de CPI pour protéger un créateur des logiciels contre toute critique.

--
Gare-au-Gorille

7. Le mercredi 16 mars 2005 à 00:43 par plouf plouf en passant

Bonsoir Maître. Merci pour le Thé et ces informations historiques passionnantes à propos de la buvette.

Je me présente, je suis plouf plouf (c'est mon prénom) en passant (c'est mon nom)

J'aime ce sentiment d'anonymat que vous confère Internet... Pour un peu je raconterai n'importe quoi. Comme... euuuhhh... Guillermito est un terroriste connu du FBI et de la DST!

heuu... bon tout le monde m'aura reconnu...

Je me pose une question: ne trouvez vous pas étrange que ces motivations (finalement relativement longues) soient connues si tôt?

C'est tout de même plus facile de se déterminer sur la base de quelque chose de concret que sur du vide (ou quelques lignes couchées sur un bout de papier en audience, sans être sûr d'avoir tout bien entendu et bien noté...

Je trouve que cette cour fait passer des messages clairs.

Je rêve?

plouf.

8. Le mercredi 16 mars 2005 à 01:14 par E.

> heuu... bon tout le monde m'aura reconnu...

Vous avez une très haute opinion de vous même (permettez-moi de le remarquer, en toute simplicité).

9. Le mercredi 16 mars 2005 à 09:08 par alain Robert

Que pensez vous de cet article?

www.atelier.fr/article.ph...

10. Le mercredi 16 mars 2005 à 11:51 par Periwinkle

Qu'il est à vomir.

11. Le mercredi 16 mars 2005 à 13:02 par herve Couvelard

Bonjour,
Tout d'abord je tire mon chapeau, que je n'ai pas, à Maître Eolas dont la lecture me réjouit souvent et me cultive tout le temps.

Cet article est un droit de réponse de TEGAM, il doit être pris comme tel, ce n'est qu'un bout de propagande dans sa bataille contre le chevalier de la vérité.
De ce que je comprends, les chercheurs en sécurité ne doivent pas être inquièts [si ils ne vont pas à l'encontre de nos arguments marketing, si ils travaillent à améliorer notre code - sans être rémunérés - mais en gardant cela secret avec nous].

Je m'étonne juste qu'ils parlent de campagne de dénigrement à propos d'un forum obscur réservé à une communauté très très réduite. La seule campagne de dénigrement qui a été faire est la publicité qu'ils ont donnéé à cette affaire. Peut être que la publicité était le seul critère pertinent pour avoir "monter" cet affaire, peut importe qu'un internaute soit pris à partie :
l'important est de parler de nous, même en mal, il en restera quelque chose.

Si les consommateurs avertis pouvaient s'en souvenir lors de l'achat d'un logiciel.

Juste une petit question : sur des publicités, ils affirment que VI-TRUC arrète 100% des virus connus, or un site dédié à la sécurité à fait des test et il apparait que ce n'est pas vrai, que des virus censés avoir été testés et refoulés par VI-chose ne le sont pas. Ne peuvent-ils être attaqués pour publicité mensongère et condamné à des publications "correctives" dans des journaux grand publics ?

Si cela pouvait être possible, ne serait-ce pas pour la communauté du libre,un moyen de rendre la monnaie de sa pièce à une société à la moralité somme toute plutôt ... souple ?

hervé

12. Le mercredi 16 mars 2005 à 13:50 par Mambo

Imaginons que je sois un client de BMW et que BMW affirme dans ses publicités que l'on ne risque rien en fonçant droit dans un mur à 120km/h avec une de leur nouvelle série 23.
Ayant trop d'argent je décide d'en acquérir une, de placer un "crash test dummy" au volant et de propulser la voiture contre un mur... la voiture est détruite, le mannequin pulvérisé... preuve éclatante s'il en est que leur publicité est mensongère.
Mais le tribunal décide que je suis un vilain garçon et me condamne à 5000€ avec sursis.

C'est ça? J'ai bien compris l'histoire?

Petite question: pourquoi Guillermito n'a-t'il pas attaqué Tegam et ses dirigeants pour diffamation (l'allégation ou l'accusation d'un fait spécifique, personnel et préjudiciable à l'encontre d'une personne, qui affecte son honneur ou sa réputation). La diffamation est avérée ici de nombreuses fois non?

Non, vous n'avez pas bien compris l'histoire.

Pour filer votre métaphore, vous auriez volé la BMW pour la tester, et BMW vous poursuivrait pour vol, en affirmant que ce vol s'inscrit dans une politique d'agression et de dénigrement contre leur société, que votre test n'est pas valable (votre mur n'est pas conforme, vous avez "propulsé" la voiture dans le mur alors qu'il fallait "foncer" dedans, vous n'étiez pas dans la voiture ce qui ne prouve pas que n'auriez pas survécu indemne à l'accident, etc), tandis que vous estimeriez devoir être félicité pour avoir démontré la publicité mensongère.

Le procureur vous reprochant de ne pas avoir laissé faire le marché (au bout de quelques conducteurs tués, les ventes de ce modèle aurait baissé jusqu'à disparaître) ou de n'avoir agi par les voies légales.

Mais votre exemple n'est guère pertinent.

Eolas

13. Le mercredi 16 mars 2005 à 14:01 par bb

à Mambo

C'est à peu près cela, si ce n'est que vous auriez préalablement subtilisé la voiture à BMW ...

C'est principalement ce fait qui est reproché : l'utilisation d'un logiciel "piraté"... si j'ai bien compris...

14. Le mercredi 16 mars 2005 à 15:26 par Tof

Maître, vous dites que le "Le full disclosure n'est pas condamné par cette décision" (en ajout du premier commentaire de ce billet).

Mais quand on lit dans le jugement : "[...] Guillaume T. a effectivement reproduit, modifié, et rassemblé tout ou partie du logiciel Viguard puis procédé à la distribution gratuite de logiciels tirés des sources du logiciel Viguard. Il sera donc déclaré coupable et condamné [...]"

Même si la lecture du reste du jugement (notamment le paragraphe précédent) est plus claire, je trouve que la conclusion du tribunal, exprimée de la sorte, est un peu ambigüe. En tout cas, ça me laisse un doute.


Tof

15. Le mercredi 16 mars 2005 à 15:53 par AïeTech

Pour compléter la réponse de Maître Eolas à Mambo (n°12), non seulement la voiture aurait été volée mais en plus elle l'aurait été à un particulier et non à un concessionnaire du constructeur automobile, ce qui fait qu'elle aurait pu avoir été modifiée sans que le testeur n'en ait eu connaissance.

Si d'après des sources concordantes l'étude de Guillermito semble avoir été louée pour sa rigueur, elle repose en fait sur une erreur méthodologique grossière qui lui retire toute pertinence, puisque le testeur est incapable de savoir s'il a réellement étudié une version commerciale de Viguard.

Cela n'a cependant pas eu d'influence directe sur les débats et le jugement, apparemment.

16. Le mercredi 16 mars 2005 à 16:15 par Guillermito

AieTech: d'où l'intérêt des proofs of concept et autres démonstrations, de façon à ce que chacun puisse répéter mes expériences chez soi sur son propre logiciel valide acheté au supermarché, et savoir si ce que je dis est vrai ou faux. Donner à chacun toutes les armes nécessaires pour qu'il soit possible de démontrer que ce qui est publié est faux, c'est la base de la méthodologie scientifique selon Popper. J'ai commis l'erreur grossière de confondre science et marketing, deux univers qui n'ont pas les mêmes règles.

17. Le mercredi 16 mars 2005 à 17:17 par AïeTech

Guillermito, ça n'est assurément pas une démarche recevable, encore moins pour un scientifique de haut niveau. Si votre version de Viguard avait été modifiée cela vous aurait amené à publier de fausses informations et vous aurait valu tout autant d'ennuis, cette fois indiscutablement justifiés.

Le full disclosure n'est pas un droit de faire tout et n'importe quoi, une justification qui permettrait à toute personne qui l'invoquerait de pouvoir faire ce qui est habituellement contraire à la loi, comme publier le code source d'un logiciel propriétaire, lancer des accusations arbitraires ou bien diffuser un troyen ou un virus comme preuve de faisabilité.

Personnellement je trouve cette affaire détestable car les torts sont à l'évidence partagés. Même si en ce qui me concerne vous-même et votre intention initiale avez toute ma sympathie, je ne peux qu'approuver un jugement qui rappelle que la fin ne justifie pas tous les moyens, ce qui explique probablement à la fois sa sévérité et sa clémence.

18. Le mercredi 16 mars 2005 à 17:18 par AMcD

> Donner à chacun toutes les armes nécessaires pour qu'il soit possible de démontrer que ce qui est publié est faux, c'est la base de la méthodologie scientifique selon Popper

Eh oui ! Il faut d'ailleurs être sacrément inculte et de mauvaise foi en sécurité informatique pour tenir certains propos comme l'a fait xxx. Venir pleurer que, bouh, honte sur toi, t'as trafiqué le logiciel pour le faire planter est risible ; c'est ainsi que procèdent tous les pirates, hackers, reversers, auteurs de virus de la planète. Quand on veux montrer que quelque chose est cassable, ben on le casse ! Peu importe les moyens, le but étant de démontrer. D'autant plus que, si effectivement le produit est incassable, en quoi la méthode peut bien importer au fabricant ?

J'admire d'ailleurs certaines conclusions de cette affaire. Je n'ai pas confiance en un produit, je trouve en plus que sa publicité est un peu "je me fous du consommateur". Eh bien si je désire aider ce consommateur, il me faut d'abord acheter ce produit (!) et communiquer mes recherches en grand secret au fabricant (qui se gardera bien de communiquer publiquement). En gros, payer pour faire le travail d'autres quoi... Et comme récompense, un procès aux fesses des fois que j'aurai trop mis en évidence un argument marketing fallacieux.

Y a pas à dire, c'est beau...

19. Le mercredi 16 mars 2005 à 17:23 par AMcD

@aïetech

Supposons que je sois un méchant pirate qui veuille rentrer sur ta machine protégée par un quelconque soft. Ben je te rassure desuite, malgré toute la complexité qu'il sera peut-être nécessaire d'engager, il n'en restera pas moins que le fond sera d'essayer de faire planter tes protections. Bref "modifier" certains softs comme tu dis. Cela a toujours été et sera toujours ainsi. Si quelque chose te gêne, tu le casses ! Comment veux-tu outrepasser une protection sans l'atatquer, la modifier, la perturber ? Crier au loup parce que le logiciel a été modifié est ridicule, c'est justement le but recherché !

20. Le mercredi 16 mars 2005 à 17:33 par Guillermito

AieTech: Sans vouloir vous offenser, votre commentaire est typique des gens qui n'ont strictement aucune idée de ce que j'ai pu faire avec Viguard, et qui ne se sont jamais donné la peine de lire ma page d'analyse qui a déclenché les foudres de Tegam. C'était assez technique, mais j'avais justement tenté de l'écrire dans un langage simple. 1. Si j'avais publié de fausses informations, non prouvables, j'aurais été condamné pour diffamation. 2. Je n'ai jamais publié de code source de Viguard. 3. Je n'ai jamais diffusé de troyen ou de virus comme preuve de faisabilité. Oh, et aussi, je ne suis pas un terroriste recherché par la DST et le FBI.

21. Le mercredi 16 mars 2005 à 18:32 par herve Couvelard

@guillermito : c'est vrai z'etes pas un terroriste ? Térame a menti alors ? je ne puis croire une chose pareille, je suis déçu, moi qui cherchait un vrai rebeltz.

@aietech : je ne parle pas du contenu de votre post, mais je trouve votre ton d'une condescendance presque insultante, même si vous trouvez que les torts sont partagés. Juridiquement ils le sont, le jugement faisant force de loi. Humainement, je trouve dérisoire de poursuivre pour le "piratage" d'un logiciel alors que l'auteur du dit piratage n'utilise pas le dit logiciel pour se protéger.

Cette raison juridique n'est qu'un pretexte à la véritable raison, et explique peut être la 'clémence' du jugement.

22. Le mercredi 16 mars 2005 à 19:00 par AïeTech

à Guillermito

Le paragraphe concerné est distinct du précédent car il s'agissait de considérations générales. Ce n'est sans doute plus votre cas maintenant, mais trop d'adeptes du full disclosure s'estiment complètement au-dessus des lois ou font preuve d'une totale ignorance en matière de droit, ce qui n'est évidemment pas une bonne raison pour ne pas les respecter ou pour ne pas prendre au moins certaines précautions.

Etant passé il y a longtemps sur la page concernée, je n'en ai pas un souvenir suffisamment précis, mais j'ose supposer que les faits reprochés dans le jugement sont exacts. Je me contenterai donc simplement de remarquer que pour démontrer que Viguard ne détecte pas tous les virus il suffisait de réaliser un test avec quelques virus non détectés (vous l'avez fait), nul besoin de désassembler le programme et surtout de publier des PoC.

Votre erreur a probablement été de passer d'une simple démonstration que Viguard ne détectait pas tous les virus à une étude décrivant les attaques possibles contre un antivirus sous Windows en prenant pour exemple une version warez de Viguard, ce qui n'est plus vraiment la même chose.

Bon, j'arrête-là avec mes commentaires, puisqu'il paraît qu'ils sont d'une condescendance presque insultante... Si c'est comme cela que vous aussi vous les avez ressentis, vous m'en voyez sincèrement désolé, ça n'était pas le but.

23. Le mercredi 16 mars 2005 à 20:55 par AMcD

@AïeTech

> il suffisait de réaliser un test avec quelques virus non détectés (vous l'avez fait), nul besoin de désassembler le programme et surtout de publier des PoC

Il y a vraiment de quoi se plier de rire...

Pour pouvoir tromper un antivirus, il te faut utiliser une de ses failles, ou en créer une ! Pour étudier les failles d'un logiciel, la méthode la plus classique reste le désassemblage.

Enfin, pour prouver tes dires, il faut bien montrer une preuve de faisabilité, une PoC quoi...

Comment crois-tu donc que les malwares fonctionnent bon sang ? La majorité des AV arrête la quasi-totalité des virus hein. Si tu ne touches pas au logiciel, si tu n'étudies rien, c'est pas par l'opération du St-Esprit que les failles vont apparaître. Si une porte est protégée par une serrure et que tu veux rentre quand même, faut bien truander la serrure !

> Bon, j'arrête-là avec mes commentaires, puisqu'il paraît qu'ils sont d'une condescendance presque insultante...

Le problème est qu'il semble que tu croies qu'on trouve/prouve des vulnérabilités en s'asseyant devant un écran sans rien toucher ou faire. Eh bien non, c'est pas magique... Pour tester la solidité d'une voiture, on la crash-teste, ce qui n'est pourtant pas une condition de fonctionnement habituelle. Eh bien pour les logiciels de sécurité, c'est pareil.

Tu critiques les adeptes du Full Disclosure, mais sans eux, il y aurait peu de chance que la vérité soit faite sur certains logiciels ou systèmes d'exploitation.

24. Le mercredi 16 mars 2005 à 21:17 par Tweakie

> Je me contenterai donc simplement de remarquer que pour démontrer que Viguard ne détecte pas
> tous les virus il suffisait de réaliser un test avec quelques virus non détectés (vous l'avez fait), nul
> besoin de désassembler le programme et surtout de publier des PoC.


Il se trouve qu'il existe plusieurs facons d'utiliser Viguard. L'une d'entre elles consiste a empecher tout nouveau programme de s'executer sur la machine. Pour des raisons evidentes, ca n'est pas le mode de fonctionnement le plus courant, en tout cas chez les particuliers. Pourtant, c'est ce mode qui, selon Olivier Aichelbaum (qui se repose sur la notice du produit plutot que sur les informations publiquement disponibles), devrait etre utilise' pour tester le logiciel. La liste des virus dressee par Guillermito prouve que si l'on laisse des programmes s'executer, on risque de se faire infecter, quelles que soient les autres barrieres de protection mises en place par Viguard. Les PoC et une partie du reste de l'etude prouvent que meme si on bloque l'ensemble des executables, Viguard peut se laisser berner (je parle bien sur des versions etudiees par Guillermito, je ne sais pas ce qu'il en est des versions plus recentes).

25. Le mercredi 16 mars 2005 à 21:30 par Tweakie

Au vu du texte du jugement, il ne me semble pas que Guillermito ait ete condamne' simplement parce qu'il ne possedait pas de licence de Viguard. J'aimerais bien le croire mais ca n'est vraiment pas ce que dit le jugement :

> [...] et surtout cet article édicte in fine “qu’il ne saurait être interprété comme permettant de porter
> atteinte à l’exploitation normale du logiciel ou de causer un préjudice injustifié à son auteur”.

Ce "et surtout" semble par exemple totalement disjoint de la possession d'une licence valide. Il en va de meme pour le debut du paragraphe suivant :

> Il résulte de ce qui précède que Guillaume T. a effectivement reproduit, modifié, et rassemblé tout ou
> partie du logiciel Viguard puis procédé à la distribution gratuite de logiciels tirés des sources du logiciel
> Viguard.

S'il n'y avait eu que le terme "reproduit", j'aurais pu croire que l'absence de licence valide avait motive' le jugement. Sans la deuxieme partie de la phrase, le doute aurait ete permis, mais la seconde partie de la phrase ne laisse aucun doute quant aux motifs de la condamnation.

Je suis surpris et decu de voir que certaines personnes "en vue" du monde de la securite' informatique continuent a clamer que "le full-disclosure n'est pas remis en cause". Sans doute pour se convaincre que c'est le cas, sans vraiment chercher a lire ou a comprendre le jugement (voir fr.comp.securite).

26. Le mercredi 16 mars 2005 à 22:18 par all

Guillermito, dans la biologie, as-tu découvert quelque chose ? :D

27. Le jeudi 17 mars 2005 à 00:04 par Tweakie

> Guillermito, dans la biologie, as-tu découvert quelque chose ? :D

Pour chercher des references a des articles scientifiques sans te fouler et sans passer par des sites trop specialises, je te conseille scholar.google.com (mais on devie du sujet initial, la).

scholar.google.com/schola...

28. Le jeudi 17 mars 2005 à 02:05 par Bog

@Tweakie

Dans l'état actuel des choses, je ne partage pas ton pessimisme : ne possédant pas de licence valide, légalement Guillermito n'avait pas le droit d'examiner le fonctionnement intime du logiciel et donc encore moins celui de rendre publiques les informations recueillies ou bien de diffuser des programmes basés sur ces informations pour désactiver l'antivirus de Tegam, tout est lié.

Par contre l'idée de s'interroger sur la définition d'une preuve de faisabilité n'est pas inintéressante. Personnellement je reçois quasiment tous les jours des virus capables de désactiver mon antivirus : est-ce réellement parce que les programmes de Guillermito auraient eu pour seule fonction de désactiver un antivirus sans s'autoreproduire qu'il lui aurait été légal de les publier si Guillermito avait possédé une licence? Guillermito aurait-il pu publier le code ou le binaire d'un virus anti-Viguard comme POC?

29. Le jeudi 17 mars 2005 à 15:57 par Nicolas Brulez

Bonjour,

Je me dois de rester neutre sur cette affaire connaissant les deux parties, mais ce qui
me gène dans toute cette histoire c'est le rapport de "l'expert".

Maitre Eolas, Comment sont choisis les Experts? S'agit-il d'un expert pour toutes affaires en rapport avec l'Informatique ? Ou à l'inverse, juste pour ce genre d'affaire ? Autrement dit, l'expert avait-il vraiment les compétences nécessaires pour donner
son avis sur la question ?

"Il y a lieu de constater que les arguments ainsi développés sont contredits par les éléments du dossiers. Ainsi Eyal D., concepteur du logiciel Viguard, conteste que le prévenu ait été l’instigateur des améliorations apportées à ce produit et il remarque que rien n’obligeait Guillaume T. à désassembler le programme pour contrarier ses fonctions virales et encore moins à dénigrer ce produit. La matérialité proprement dite des manipulations dont Viguard a été l’objet n’est d’ailleurs pas déniée par l’intéressé et elle est confirmée par le rapport de l’expert dont les conclusions ne sont pas contestées quand elles énoncent qu’il “s’agit bien en l’espèce d’un cas avéré de modification et de réassemblage de tout ou partie de logiciel ... qu’il s’agisse de fichiers de définitions de virus, ou de parcelles décompilées, il s’agit bien d’une utilisation et d’une adaptation du logiciel source Viguard”.

Le mot "Réassemblage" me donne des frissons.. Ce que j'ai pu lire jusqu'à maintenant sur le rapport de l'Expert me laisse douter sur les compétences de l'Expert en matière de Reverse Engineering.

Tout les experts en sécu désassemblent le code des applications proprietaires pour trouver les failles.. Moi y compris. (non ne me jetez pas en prison!)

Une contre expertise par un VRAI expert en matière de Reverse Engineering aurait pu être envisagé non ?

"Maître Iteanu a soulevé cet argument, le jugement y répond implicitement en considérant que ce qu'a fait Guillermito (se fiant sur ce point à l'expertise) allait bien plus loin qu'une simple "courte citation" à caractère polémique et pédagogique."

Encore une fois, on se fie au rapport de l'expert qui n'a que le nom (En ce qui concerne le Reverse Engineering).

Le rapport _complet_ de l'Expert est-il disponible ?

Je me pose des questions, peut être parce que je fais du Reverse Engineering Pro depuis bientot
10 ans et que je l'enseigne dans diverses grandes école d'info en France, sans parler du reste..

Je vais bientot devoir changer de pays si ca continue, obliger de reverser la nuit, à la bougie...

30. Le jeudi 17 mars 2005 à 19:20 par AMcD

@Nico

> Le mot "Réassemblage" me donne des frissons..

Au train ou vont les choses, un jour on nous collera un procès parce que dans nos softs il y a une même suite d'instructions processeur que dans un autre, protégé par 6.2356 brevets. Et t'auras toujours un gars pour défendre le plaignant, le ridicule ne tuant pas.

Moi aussi je me demande comment est choisi l'expert et sur quelles compétences. Parce que quand même, arriver à caser le terme de réassemblage dans cette affaire, chapeau niveau "j'y comprends rien au sujet". Quoique, le plus beau est je pense la plainte de désassemblage, c'est bien connu, les failles, ont s'asseoit devant l'écran, on regarde le soft et elle sortent toutes seules...

31. Le jeudi 17 mars 2005 à 20:05 par Mot

Bonjour, et merci à Eolas pour la retranscription des conclusions du procès,

en fait, plus qu'un commentaire, je voulais apporter tout mon soutien à Guillermito. J'ai eu le plaisir de lire sa prose sur usenet, du temps où il s'intéressait à la stéganographie, et ses messages étaient des plus intéressants, argumentés...

Je suis consterné de le voir condamné pour une raison concrète ou une autre. Il est de toute façon évident que la véritable raison du procès, c'est qu'une boîte de sécurité informatique n'a pas supporté de voir quelqu'un leur démonter leur produit, soulever l'étiquette "Fiable à 100%, garanti !", et dénoncer leurs mensonges...

Mot, ancien lecteur de fr.misc.crypto

32. Le jeudi 17 mars 2005 à 21:07 par plouf plouf en passant

Mon petit doigt qui dépasse de ma main (cf. la prose du plus grand expert informatique que la terre ait porté avec ses petits bras musclés) me dit que le rapport de l'expert sera bientôt disponible dans toutes les bonnes cyber-librairies. Il permettra de se faire une idée précise de ce qu'un expert peut écrire.

Très cordialement,
Plouf

33. Le vendredi 18 mars 2005 à 10:25 par Mambo

Donc:
Je volle une BMW qui explose subitement lors de l'utilisation normale -> Cela ne veut rien dire.
J'achette une BMW qui explose subitement lors de l'utilisation normale -> Je ne suis pas très prudent quand même.
50 personnes ont la même mésaventure -> Houla, la dangereuse voiture que voilà.
(Vous voudrez bien excuser les termes techniques ^^)

34. Le vendredi 18 mars 2005 à 18:45 par toc toc

@Mambo

Si tu voles une BMW à un particulier et qu'elle explose tu ne peux pas en conclure que toutes les BMW sont piégées ou trafiquées par Mercedes.

Si tu voles une BMW et qu'elle explose lorsque que tu places dessous une mine aimantée ça n'est pas une faille de sécurité spécifique à la BMW, voire pas une faille de sécurité du tout, même si tu as conçu ou optimisé ta mine pour cette voiture. Concevoir un programme capable de désactiver un antivirus est possible pour n'importe quel antivirus.

Ce qui est dommage dans cette affaire c'est que la publication d'un tel programme n'apportait pas grand chose à l'étude dans la mesure où le reste démontrait déjà que Viguard ne détectait pas tous les virus.

Guillermito a été victime de son perfectionnisme et il faut bien le dire aussi de son insouciance. Même sans décompilation il aurait probablement été condamné pour s'être procuré un logiciel piraté, donc une contrefaçon, non?

35. Le vendredi 18 mars 2005 à 20:18 par AMcD

@toc toc

> Concevoir un programme capable de désactiver un antivirus est possible pour n'importe quel antivirus.

Les éditeurs d'AV ne prétendent JAMAIS que leur produit est parfait, incassable, imparable ou indésactivable.

> Si tu voles une BMW et qu'elle explose lorsque que tu places dessous une mine aimantée ça n'est pas une faille de sécurité spécifique à la BMW, voire pas une faille de sécurité du tout, même si tu as conçu ou optimisé ta mine pour cette voiture.

Ben si, justement. Si le vendeur de ta BMW t'as dit qu'elle était incassable elle n'a pas à exploser avec la mine. Sinon, c'est qu'il y a une faille... ce que démontre ta mine.

Il faudrait cesser un jour ce ridicule touintouin autour du fait d'attaquer ou désactiver un AV pour le neutraliser. Eh comment donc voulez vous agir différement !? Pour montrer qu'un AV est nul, il ne faudrait donc pas le toucher ? Mais lol, comme on dit sur le Net...

36. Le vendredi 18 mars 2005 à 22:58 par Tweakie

> Si tu voles une BMW et qu'elle explose lorsque que tu places dessous
> une mine aimantée ça n'est pas une faille de sécurité spécifique à
> la BMW, voire pas une faille de sécurité du tout, même si tu as conçu
> ou optimisé ta mine pour cette voiture. Concevoir un programme capable
> de désactiver un antivirus est possible pour n'importe quel antivirus.


Reprenons cette (mauvaise) analogie :

Mercedes pretend que si on place dessous ses voitures une mine aimantee,
la voiture detectera la mine, et qu'ainsi on pourra se debarasser de la
mine avant qu'elle n'explose. Mercedes propose un antivirus classique,
a signature. Pour prouver que Mercedes n'est pas infaillible, la methode
consiste a placer successivement sous une voiture equipee du dispositif
de protection une grande quantite' de mines differentes et a verifier
si elles sont detectees.

BMW pretend avoir une technique superieure : laisser exploser la mine,
l'explosion declanchant une serie de contre-mesures qui empecheront la
mine de causer des dommages a la voiture. C'est une technologie similaire
a Viguard : on laisse le fichier s'executer et s'il cherche a accomplir
des actions indesirables, on bloque celles-ci. Pour prouver que le
systeme de BMW n'est pas fiable, on cherchera tout simplement a
endommager la voiture avec une mine. Dans ce cas, la technique qui vient
immediatement a l'esprit consiste a placer la mine directement sous le
systeme charge' du declenchement des contre-mesures.

Vous comprenez pourquoi ce type d'attaque est specialement concu pour
tester des antivirus "a la Viguard" ?

> Ce qui est dommage dans cette affaire c'est que la publication d'un
> tel programme n'apportait pas grand chose à l'étude dans la mesure où
> le reste démontrait déjà que Viguard ne détectait pas tous les virus.

Relisez calmement le commentaire 24. C'est plus clair ?


> Même sans décompilation il aurait probablement été condamné pour s'être
> procuré un logiciel piraté, donc une contrefaçon, non?

1/ Avant de parler de decompilation, renseignez vous sur la signification
de ce terme.

2/ Vous avez lu ca dans le texte du jugement ou il s'agit juste d'une
interpretation personnelle ?

37. Le vendredi 18 mars 2005 à 23:39 par plouf plouf en passant

Comme me l'avait dit mon petit doigt qui dépasse de ma main©, le rapport de l'expert est disponnible ici

www.kitetoa.com/Pages/Tex...

plouf.

38. Le samedi 19 mars 2005 à 05:24 par toc toc

@AMcD

Désolé, il me semblait que la publicité de Tegam affirmait que son antivirus détectait 100% des virus, pas qu'il était indestructible.

Si c'est le cas alors le programme permettant de désactiver Viguard avait sa justification, mais ça reste délicat de diffuser publiquement un tel programme car c'est un vrai malware. Avec la LEN votée depuis, cette publication est même d'ailleurs a priori devenue illégale.

Si ça n'est pas le cas alors je maintiens que la publication de ce programme n'était pas pertinente, voire qu'elle était à la limite de la mauvaise foi, car la "faille" qui fait qu'un programme peut être désinstallé ou endommagé par un autre programme vient davantage de l'OS que du programme lui-même.

@Tweakie

Dans mon idée je ne parlais pas de détection de la mine par la voiture, il s'agissait juste de poursuivre la (mauvaise) image pour dire que si on veut faire exploser une voiture on peut toujours, mais ça n'est pas vraiment une faille de la voiture. Maintenant si le constructeur a affirmé qu'elle était indestructible, je suis d'accord avec vous, on peut dire qu'il y a faille.

> Relisez calmement le commentaire 24. C'est plus clair ?

Non car pour moi peu importe les méthodes de détection : à partir du moment où les virus ne sont pas tous détectés c'est bien que Viguard ne détecte pas 100% des virus, donc qu'un virus exécuté et non détecté pourra faire ce qu'il veut de l'antivirus comme du reste. Pas la peine d'aller plus loin, car avec la diffusion publique d'un malware l'étude prend une tournure malsaine et on en vient à douter des intentions réelles de son auteur.

> 2/ Vous avez lu ca dans le texte du jugement ou il s'agit juste d'une
> interpretation personnelle ?

C'est une vraie question! On condamne des internautes pour le téléchargement de musiques piratées ou des entreprises pour l'utilisation de logiciels sans licences, donc je suppose que ce serait la même chose dans le cas d'un particulier même si le logiciel n'avait pas été bidouillé.

Un éclairage de Maître Eolas peut-être?

39. Le samedi 19 mars 2005 à 16:48 par Tweakie

> Désolé, il me semblait que la publicité de Tegam affirmait que son antivirus
> détectait 100% des virus, pas qu'il était indestructible.

Dans le cadre d'un anti-virus generique, l'un implique l'autre. Viguard travaille pendant/apres
execution : s'il est destructible, un virus peut le detruire, si un virus peut le detruire, Viguard
ne le detectera pas, si Viguard ne le detecte pas, Viguard ne detecte pas 100% des virus.
Ca me parait pourtant simple a comprendre !

> Dans mon idée je ne parlais pas de détection de la mine par la voiture, il s'agissait juste de
> poursuivre la (mauvaise) image pour dire que si on veut faire exploser une voiture on peut toujours,
> mais ça n'est pas vraiment une faille de la voiture.

L'image est mauvaise parce que Viguard, ca n'est pas la voiture. La voiture, c'est votre PC, et
Viguard (ou tout autre antivirus), c'est le systeme de detection de mines. Ca ne vous parait pas
plus homogene comme ca ?

> Avec la LEN votée depuis, cette publication est même d'ailleurs *a priori* devenue illégale.

A posteriori, vous voulez dire. Or il ne me semble pas que la LEN puisse-t etre appliquee retroactivement.

> les virus ne sont pas tous détectés c'est bien que Viguard ne détecte pas 100% des virus

Faire un antivirus qui detecte 100% des virus, c'est extremement simple, a partir du moment
ou il considere aussi que 100% des autres fichiers sont des virus. Ce qui est delicat,
c'est qu'il ne detecte aucun des fichiers qui ne sont pas des virus. En mode bloqueur, Viguard
etait sense' bloquer 100% des nouveaux executables, et donc 100% des virus. C'est pour montrer
l'inefficacite' de ce mode particulier que Guillermito a publie' ses PoC.

Finalement, il s'est avere', a posteriori, que des virus bien reels tels que Sasser etaient capables
de contourner cette protection la.

> C'est une vraie question! On condamne des internautes pour le téléchargement de musiques
> piratées ou des entreprises pour l'utilisation de logiciels sans licences, donc je suppose que ce
> serait la même chose dans le cas d'un particulier même si le logiciel n'avait pas été bidouillé.

Les internautes qui telechargent des musiques piratees ne le font pas pour etudier la qualite'
de la compression MP3. Les entreprises qui utilisent des logiciels sans license ne le font pas
pour faire du beta-testing. Donc la comparaison est biaisee, et on ne peut presumer de la
decision d'un tribunal sur ce point precis.

40. Le samedi 19 mars 2005 à 19:21 par toc toc

> Ca me parait pourtant simple a comprendre !

Si Viguard ne détecte pas un virus ce virus pourra le détruire et non l'inverse. Pour moi vous jouez sur les mots afin de justifier une mauvaise hypothèse de travail, qui n'est de toute façon pas spécifique à un antivirus générique mais à tout antivirus surveillant le système en temps réel.

> A posteriori, vous voulez dire. Or il ne me semble pas que la LEN
> puisse-t etre appliquee retroactivement.

Bien sûr, il n'y a pas de rétroactivité. Je voulais dire que depuis la loi a été "clarifiée" et que Tegam pourrait désormais attaquer avec un motif plus crédible et moins discutable que la contrefaçon. Que vous soyez client de Tegam ou de Kaspersky, vous voyez forcément d'un mauvais oeil qu'un individu diffuse publiquement un utilitaire permettant de supprimer ou de désactiver votre antivirus, même s'il appelle cela une preuve de faisabilité et même si c'est sa réponse à une campagne de publicité mensongère.

> Donc la comparaison est biaisee, et on ne peut presumer de la
> decision d'un tribunal sur ce point precis.

C'est là que l'image de la voiture redevient utile. Si Auto+ teste une BMW après l'avoir volée peut-être que le propriétaire ne lui en tiendra pas rigueur, mais je comprendrais qu'il n'apprécie pas, porte plainte et obtienne gain de cause même si c'est de façon symbolique. Je ne suis pas sûr qu'être un chasseur de failles dispense de respecter la loi et permette de travailler sur des logiciels piratés (en dehors du fait que cela pourrait constituer une erreur méthodologique), mais l'avis d'un spécialiste comme Maître Eolas serait le bienvenu.

41. Le samedi 19 mars 2005 à 19:32 par AMcD

@toc toc

> Si Viguard ne détecte pas un virus ce virus pourra le détruire et non l'inverse.

Ben justement, c'est là qu'on voit que tu n'y entends pas grand-chose. Afin qu'un anti-virus ne detecte pas un virus, dans la majorité des cas, on essaye de le "détruire", d'empêcher son fonctionnement. À moins d'un produit vraiment naze où d'utilisateurs vraiment neuneus, si tu trafiques pas l'anti-virus ou n'importe quel autre moyen de défense, tu seras arrêté dans la majorité des cas.

> Pour moi vous jouez sur les mots afin de justifier une mauvaise hypothèse de travail

Non, c'est toi qui ne comprends pas la problématique de base. Il n'y a rien de répréhensible à avoir voulu dérégler l'anti-virus pour le bypasser... vu qu'on procède généralement ainsi ! C'est à l'anti-virus de se protéger au mieux, pas à l'attaquant à avoir à respecter des règles... Le monde de Rousseau, c'est dans les livres.

42. Le samedi 19 mars 2005 à 20:59 par Tweakie

> Si Viguard ne détecte pas un virus ce virus pourra le détruire et non l'inverse.

Et non. Viguard ne "detecte pas" les virus a proprement parler. Il empeche les actions jugees malveillantes. Or a l'epoque des tests de Guillermito, les developpeurs de Viguard avaient tout
simplement oublie' que la modification de Viguard pouvait faire partie des actions malveillantes.
Je sais, ca peut paraitre idiot.

> Pour moi vous jouez sur les mots afin de justifier une mauvaise hypothèse de travail, qui n'est de
> toute façon pas spécifique à un antivirus générique mais à tout antivirus surveillant le système en
> temps réel.

Si, cette hypothese est specifique aux antivirus "sans mises a jour [de signatures]". Il existe une
tetra-douzaine de malwares qui tentent de desactiver les anti-virus classiques. Le hic, c'est que
ces malwares sont, a part peut-etre les plus recents, dans la base de signatures de ces anti-virus.
Ils sont donc detectes avant d'avoir eu l'occasion de s'executer, et ne risquent pas de desactiver
grand chose. Pour ce genre d'attaques, la "fenetre de vulnerabilite'" si chere a Tegam ne dure que
jusqu'a la prochaine mise a jour de signatures. Et creer une signature est substantiellement plus
rapide que modifier le principe de fonctionnement d'un logiciel (et pourtant, croyez le ou pas, j'aime
assez le principe de la detection generique).

> Tegam pourrait désormais attaquer avec un motif plus crédible et moins discutable que la contrefaçon.

Non. Car justement, la loi n'est pas retroactive, et que Guillermito ne pouvait pas prevoir la LEN. Donc Tegam se voit reduite au pretexte peu convaincant de la contrefacon.

> C'est là que l'image de la voiture redevient utile.

Voyons voir ca.

> Auto+ teste une BMW après l'avoir volée peut-être que le propriétaire ne lui en tiendra pas
> rigueur, mais je comprendrais qu'il n'apprécie pas, porte plainte et obtienne gain de cause même
> si c'est de façon symbolique.

Il est susceptible de ne pas apprecier pour deux raisons :
1/ Ca pourrait abimer la voiture
2/ Ca pourrait temporairement le priver de l'usage de la voiture.

Prevenez moi si vous parvenez a appliquer ca a une copie de logiciel.

> Je ne suis pas sûr qu'être un chasseur de failles dispense de respecter la loi et permette de
> travailler sur des logiciels piratés (en dehors du fait que cela pourrait constituer une erreur
> méthodologique), mais l'avis d'un spécialiste comme Maître Eolas serait le bienvenu.

Legalement, bien sur que non. Moralement, bien sur que si. Le seul prejudice potentiel est le manque
a gagner potentiel pour l'editeur. Et etre oblige' de payer une license dans le seul but de verifier qu'un
logiciel est une inefficace ou mal concu n'a rien de moral. Vous lisez trop mag-securs.

43. Le dimanche 20 mars 2005 à 00:02 par Nicob

(Tweakie, j'ai remis les accents ;-)

> Finalement, il s'est averé, a posteriori, que des virus bien
> reels tels que Sasser etaient capables de contourner cette
> protection la.

Il existe en effet, comme le montre Sasser, un autre problème que l'oubli d'inclure dans la liste d'actions malveillantes les atteintes aux divers composants du produit.

Si un programme malveillant exploite une vulnérabilité connue dans un service Windows tournant avec des droits élevés (l'idéal étant "Local System"), l'attaquant peut prendre le contrôle (par un débordement de tampon) d'un processus ayant le plus haut niveau possible de droits sur la machine. Il peut donc (entre autres) "tuer" le processus de l'anti-virus et ainsi désactiver la protection.

A titre d'exemple, Sasser est détecté lors de l'écriture sur disque d'un fichier, bien des actions ayant déjà été entreprises sur la machine par le virus. Cette détection arrive donc "trop tard". Certains des symptômes de Sasser sont bloqués, mais une legère modification permettrait de contourner pleinement l'AV (cf. le test d'A. Marx dans eWeek).

Si quelqu'un a une licence valide, un test très intéressant serait l'infection via Slammer (ver réseau s'attaquant à MS-SQL et ne touchant pas au disque dur, tout se passant en RAM) d'une machine protégée.

Note : je sais que l'argument facile à m'opposer est que mes élucubrations impliquent une faille au niveau de l'OS ou d'un service privilégié, et que l'AV est donc hors de cause. Je cite donc le site web de Tegam (communiqué du 14 Décembre 2004 : www.viguard.com/fr/news_v... : "[...] permet de bloquer l'infection par des programmes malveillants, vers ou chevaux de Troie qui exploitent des vulnérabilités du système Windows, même si le correctif de sécurité de Microsoft n'est pas encore disponible".


Nicob

44. Le dimanche 20 mars 2005 à 12:19 par toc toc

Vous êtes en train de m'expliquer que dans un duel la balle touche l'adversaire puis le cow-boy dégaine son colt! La mission de l'antivirus est bien de surveiller le système en permanence pour empêcher les virus de se multiplier ou d'effectuer des actions hostiles. Si un virus parvient à détruire l'antivirus c'est bien une action hostile et c'est bien parce que l'antivirus n'aura pas réussi à détecter le virus et à l'empêcher de nuire. Ca n'est même pas une question de technique mais de sémantique.

Votre raisonnement est valable uniquement dans le cas des scanners "on demand". Dans ce cas effectivement lorsque le virus est exécuté il a tout loisir de détruire l'antivirus, donc lorsque vous chercherez plus tard à lancer ce dernier pour faire une analyse manuelle du disque dur il sera trop tard. Mais ça n'est pas applicable aux antivirus comportant ou se comportant comme un scanner "on access", ce qui n'empêche pas que ces derniers puissent être également détruits pas un virus de signature inconnu, une mauvaise manipulation de l'utilisateur, un cheval de Troie, etc.

> Tegam se voit reduite au pretexte peu convaincant de la contrefacon.

C'est bien ce que j'ai écrit, pas de rétroactivité pour Guillermito.

> Legalement, bien sur que non. Moralement, bien sur que si.

Exactement, ça n'est qu'une tolérance : si l'éditeur veut porter l'affaire en justice il est dans son droit. Or si le chasseur de failles publie des informations gênantes pour l'éditeur, surtout si c'est dans des conditions qui vont maximiser les risques pour les clients de l'éditeur ou entraîner des dégâts importants, il doit se douter que l'éditeur sera tenté de chercher à le sanctionner, ne serait-ce que pour montrer à ses clients qui auraient suivi l'affaire ou qui auraient été victimes d'agissements malveillants qu'il ne reste pas inactif. D'où la nécessité de se conformer à la loi, sinon le chasseur de failles prend le risque d'une faille de sécurité juridique dans sa propre démarche.

45. Le dimanche 20 mars 2005 à 15:15 par AMcD

@toc toc

> Vous êtes en train de m'expliquer que dans un duel la balle touche l'adversaire puis le cow-boy dégaine son colt!

Mon ami, vous ête lent à la détente...

Non, on t'explique que dans ce genre de duel, tu vas tirer sur la ceinture de l'afversaire, afin qu'il n'ait pas accès à son révolver...

> La mission de l'antivirus est bien de surveiller le système en permanence pour empêcher les virus de se multiplier ou d'effectuer des actions hostiles. Si un virus parvient à détruire l'antivirus c'est bien une action hostile et c'est bien parce que l'antivirus n'aura pas réussi à détecter le virus et à l'empêcher de nuire.

Et pour faire faire cela à du code hostile, tu t'y prends comment dis ? Non, c'est vrai j'aimerai bien savoir...

> Ca n'est même pas une question de technique mais de sémantique.

Absolument pas. Si tu veux infecter un système, t'as pas 50 façons. Soit tu profites d'une faille de l'AV, soit tu essayes de l'empêcher de fonctionner. Cela a toujours été ainsi. Je tiens à te rassurer, ça le sera encore longtemps :).

> Mais ça n'est pas applicable aux antivirus comportant ou se comportant comme un scanner "on access", ce qui n'empêche pas que ces derniers puissent être également détruits pas un virus de signature inconnu, une mauvaise manipulation de l'utilisateur, un cheval de Troie, etc.

Je crois que tu devrais sérieusement lire quelques ouvrages techniques sur le hacking, les virus, le piratage de réseau, etc. Il y a de bonnes références sur mon site... Vu tes oeillères, je ne peux que te souhaiter bon courage lorsque tu atteindra des chapitres genre, infection en mémoire, injection à distance, vers, etc.

> D'où la nécessité de se conformer à la loi, sinon le chasseur de failles prend le risque d'une faille de sécurité juridique dans sa propre démarche.

Dis-moi cher ami, as-tu déjà contacté des éditeurs pour des failles ? Plusieurs d'entre-nous ici oui. On pourrait t'écrire un livre sur comment t'es reçu, menacé, etc. ! Bien souvent, la seule alternative est de rendre la chose publique.

> il doit se douter que l'éditeur sera tenté de chercher à le sanctionner, ne serait-ce que pour montrer à ses clients qui auraient suivi l'affaire ou qui auraient été victimes d'agissements malveillants qu'il ne reste pas inactif.

Si les clients étaient moins veaux, c'est eux qui porteraient plainte contre l'éditeur pour tromperie sur la marchandise, publicité mensongère, etc.

Sinon, pour répondre à ta question, non, on se doute d'abord que l'éditeur sera reconnaissant, corrigera la faille, etc. Pas qu'il te collera un procès ! J'ai personellement massacré (le mot est faible) un soit-disant logiciel de crypto, l'auteur ne m'as pas poursuivi en justice, lui. Il serait en train d'écrire une nouvelle version. Voilà, ça c'est intelligent et bien plus respectueux du client.

Tu sais, les 3/4 des failles, c'est du à l'incompétence, pas au hasard...

46. Le dimanche 20 mars 2005 à 16:07 par toc toc

> Non, on t'explique que dans ce genre de duel, tu vas tirer sur la
> ceinture de l'afversaire, afin qu'il n'ait pas accès à son révolver...

Pour tirer dans la ceinture tu as bien dégainé, n'est-ce pas? Donc ne dis pas que pour éviter d'être dégommé par l'antivirus, le virus peut tirer dans la ceinture dudit antivirus pour le priver de son arme puis seulement après dégainer pour le trucider, c'est incohérent!

Si le virus réussit à atteindre l'antivirus à la ceinture c'est bien que l'antivirus ne l'a pas vu dégainer. Il n'a pas détecté le virus, donc le virus a pu le toucher, et non l'inverse.

47. Le dimanche 20 mars 2005 à 19:32 par Tweakie

> Vous êtes en train de m'expliquer que dans un duel la balle touche
> l'adversaire puis le cow-boy dégaine son colt! La mission de
> l'antivirus est bien de surveiller le système en permanence pour
> empêcher les virus de se multiplier ou d'effectuer des actions
> hostiles. Si un virus parvient à détruire l'antivirus c'est bien une
> action hostile et c'est bien parce que l'antivirus n'aura pas réussi à
> détecter le virus et à l'empêcher de nuire. Ca n'est même pas une
> question de technique mais de sémantique.

Et ben voila ! Vous venez de comprendre la principale vulnerabilite'
d'un systeme de protection "generique" tel que celui propose' par
Viguard. Viguard ne *detecte* pas les virus. Il essaie de *bloquer*
les actions hostiles. A l'epoque ou Guillermito l'a teste', il ne
considerait pas qu'une modification de son code, son processus ou ses
bases de donnees etaient des actions hostiles. C'est une des failles
demontrees par Guillermito. Ca n'est pas une question de semantique,
c'est une question de technique.

> Votre raisonnement est valable uniquement dans le cas des scanners
> "on demand". Dans ce cas effectivement lorsque le virus est exécuté il
> a tout loisir de détruire l'antivirus, donc lorsque vous chercherez
> plus tard à lancer ce dernier pour faire une analyse manuelle du disque
> dur il sera trop tard.

Heu. L'utilisation normale d'un antivirus "on demand" consiste a scanner
les fichiers avant de les executer, pas apres. Du moins, c'est ce que
font les utilisateurs avertis.

> Mais ça n'est pas applicable aux antivirus
> comportant ou se comportant comme un scanner "on access", ce qui
> n'empêche pas que ces derniers puissent être également détruits pas un
> virus de signature inconnu, une mauvaise manipulation de l'utilisateur,
> un cheval de Troie, etc.

Un "virus de signature", c'est un terme qui designe les virus non
detect^H^H bloques par Viguard ? ;-)

Plus serieusement, je vais tenter une ultime fois d'expliquer
la difference entre un antivirus a signatures, fut-il on-access, et
Viguard. Manifestement, des elements essentiels vous echappent.

Que se passe-t-il lorsqu'on double clique sur un fichier executable ?

- Dans le cas d'un antivirus on-access *a signatures* :
. Le programme n'est pas execute'
. L'antivirus scanne le fichier, en verifiant que celui-ci n'est
infecte' par aucun virus connu (certains antivirus font aussi
des tests heuristiques).
+ Si le fichier est infecte', l'antivirus effectue l'action
adequate (mise en quarantaine, suppression, choix de
l'utilisateur), etc...
+ Sinon, le virus est (finalement) execute'


- Dans le cas d'un antivirus comme Viguard qui n'est pas utilise'
comme un "bloqueur total" (white lists) :
. Le programme est execute' (c'est la difference fondamentale)
. L'antivirus surveille les actions effectuees par le programme
+ Si le programme effectue une action potentiellement
malveillante (modification d'un fichier executable existant,
ouverture d'une connexion reseau, etc...), l'anti-virus
previent l'utilisateur et lui demande de faire un choix
(autoriser/interdire).
+ En fonction de la fonction "officielle" du programme et de
l'action suspecte, l'utilisateur decide que faire du fichier.

La difference essentielle est donc que Viguard va laisser le fichier
s'executer *avant le debut de l'analyse*, ce qui n'est pas le cas
d'un antivirus classique "on access". C'est pour ca que les attaques
concues contre ces deux types de logiciels differents.

>> Legalement, bien sur que non. Moralement, bien sur que si.

> Exactement, ça n'est qu'une tolérance : si l'éditeur veut porter
> l'affaire en justice il est dans son droit.

Et oui. Dans une certaine mesure, on a le droit de se contrefoutre de
la morale. Toutefois, l'experience montre que dans le cas ou les medias
auraient decide' de s'en meler, c'est plutot une mauvaise idee,
commecialement parlant. Et surtout, ca ne fait que donner plus de
visibilite' aux failles du logiciel.

Tegam a fait quelques petites bourdes de conception et de programmation,
et de nombreuses bourdes de communication. Ce sont ces erreurs de
communication qui vont lui couter cher, pas l'analyse de Guillermito.

> Pour tirer dans la ceinture tu as bien dégainé, n'est-ce pas? [...]
> c'est incohérent!

D'un autre cote', l'analogie des cow-boy etant encore plus
inappropriee que celle des grosses berlines, l'incoherence etait
previsible.

Je vous propose de pousser le principe jusqu'au bout : un castor
jouera le role des anti-virus a signatures, Viguard sera represente'
par un canari savant, et Guillermito sera un dresseur d'ours.
On va bien se marrer !

48. Le lundi 21 mars 2005 à 13:57 par toc toc

Nous ne sommes visiblement pas d'accord. Dans la mesure où vous avez pris le temps d'expliquer une dernière fois votre vision des choses je vais faire de même pour la dernière fois aussi, sinon ça finirait par devenir ridicule.

Vous avez affirmé qu'une attaque pouvait désactiver un antivirus et empêcher ce dernier de détecter ensuite un virus, ce à quoi j'ai répondu que ça n'avait pas de sens ou plutôt que vous preniez les choses dans le mauvais sens, puisque c'est parce que votre attaque n'est pas détectée par l'antivirus que vous pouvez ensuite le désactiver.

D'après ce que vous dites, Tegam aurait amélioré Viguard afin qu'il détecte les attaques imaginées par Guillermito : si c'est le cas, vous ne pouvez donc plus les utiliser pour désactiver l'antivirus maintenant qu'elles sont détectées. D'une manière générale, par définition vous ne pouvez pas utiliser une attaque détectée et contrecarrée par un antivirus afin de désactiver ce dernier, prétendre le contraire serait absurde.

Pour qu'un virus puisse infecter un système en dépit de la présence d'un antivirus, le critère déterminant c'est donc bien que son attaque initiale ne soit pas détectée par l'antivirus, le reste c'est juste de la cuisine. Ce principe est valable pour Viguard et pour n'importe quel antivirus fonctionnant "on access", la différence étant qu'un antivirus à signatures doit être mis à jour pour reconnaître et bloquer les nouveaux programmes malveillants alors qu'un (prétendu) antivirus générique doit être mis à jour pour reconnaître et bloquer les nouveaux types d'atteinte au système (Tegam ne dit pas le contraire concernant Viguard).

> Dans une certaine mesure, on a le droit de se contrefoutre de la morale.

Le droit autorise ce que la morale de certains réprouve et inversement. C'est pour cela que le droit existe, afin qu'il y ait une justice identique pour tous, mais ça c'est un autre débat.

> Tegam a fait quelques petites bourdes de conception et de programmation,
> et de nombreuses bourdes de communication. Ce sont ces erreurs de
> communication qui vont lui couter cher, pas l'analyse de Guillermito.

On est d'accord, au moins sur le principe :-)

49. Le mardi 22 mars 2005 à 00:15 par Tweakie

> D'après ce que vous dites, Tegam aurait amélioré Viguard afin qu'il détecte les attaques imaginées par Guillermito

Je ne crois pas avoir ecrit ca. Je sais seulement que Tegam a pris en compte certaines des critiques de Guillermito pour ameliorer son produit. C'etait sur la derniere page publiee par celui-ci sur l'affaire avant que son serveur ne soit mis hors ligne.

En fait, je ne sais pas quelles ont etees les ameliorations apportees par Tegam sur ce point. Si je voulais le savoir, il faudrait :
1/ Que j'achete Viguard pour pouvoir l'etudier tout a mon aise (et j'ai mieux a faire de mon argent);
2/ Que j'evite de le desassembler (on sait jamais, ca pourrait me retomber sur la gueule si l'EULA l'interdit explicitement);
3/ Que j'evite de publier les resultats, car ca pourrait aussi me retomber sur la gueule.

Conclusion : je ne vais pas chercher a en savoir plus et je vais appliquer le principe de precaution, c'est a dire considerer que Viguard est toujours vulnerable.

> D'une manière générale, par définition vous ne pouvez pas utiliser une attaque détectée et contrecarrée par un antivirus afin de désactiver ce dernier, prétendre le contraire serait absurde.

Vous avez tout a fait raison, le probleme est que d'un point de vue pratique, il existe peut-etre des attaques qui, pour etre contrees :
- necessiteront une reecriture majeure de Viguard (pour effectuer son blocage, Viguard intercepte des appels aux fonctions de l'API de windows. Il faudrait voir ce qui se passe si on passe "dessous" ces interceptions, un peu a la maniere des virus "stealth" presentes par Guillermito).
- ...ou une detection par signatures, ce qui est toujours realisable mais que Tegam, pour des raisons purement marketing, refusera sans doute d'integrer au produit.

> Ce principe est valable pour Viguard et pour n'importe quel antivirus fonctionnant "on access", la différence
> étant qu'un antivirus à signatures doit être mis à jour pour reconnaître et bloquer les nouveaux programmes
> malveillants alors qu'un (prétendu) antivirus générique doit être mis à jour pour reconnaître et bloquer les
> nouveaux types d'atteinte au système (Tegam ne dit pas le contraire concernant Viguard).

Je n'ai jamais ecrit le contraire. D'ailleurs, certains anti-virus a signatures n'hesitent pas a employer des techniques
"generiques" pour se proteger (ne permettent pas que l'on arrete leur processus, verifient l'integrite' de leurs
bases, etc).

Maintenant, les anti-virus classiques vont plus loin et n'hesitent pas a ajouter des methodes geneiques en plus de
leurs techniques standard de detection. C'est vraissemblablement le cas de Panda avec sa technologie "truprevent",
c'est dans une certaine mesure le cas avec les heuristiques comportementaux de Norman (Sandbox), de
BitDefenfder (HIVE) et de ESET (AH). De meme, McAffee Entreprise Edition propose des fonctionnalites pour eviter
la propagation des vers. Enfin, la prochaine version de KAV devrait integrer un module appele' "proactive defense"
dont le principe ne semble etre une evolution de ce qui est utilise' dans Viguard, PrevX et dans d'autres bloqueurs
de comportement.

La technologie semble suffisament mure pour pouvoir etre associee a un AV a signature. Ce qui supprime deux
de ses inconvenients majeurs :
- Les attaques sur le systeme de protection lui-meme, qui pourront toujours etre addressees rapidement par
le biais des signatures, ce qui laisse le temps de trouver une protection plus generique.
- Les faux-positifs. A terme, les AV cherchent a faire de la detection (reperer des enchainement d'actions
dont l'objectif est vraissemblablement malveillants), pas seulement du blocage.

Mais je vous l'ai deja dit. C'est comme pour les medicaments et les films, j'aime bien les generiques.