Journal d'un avocat

1. Le mardi 21 juin 2005 à 14:19 par Guignolitroll

Attention, ça va troller ! Activez bien votre TrollGuard, nouvelle version, spécialement conçue pour ce post-ci. ;-)

2. Le mardi 21 juin 2005 à 15:28 par forgeron

autant les montants demandes etaient absurdes, autant les chiffres de la comdamnation sont enormes pour un simple citoyen.

3. Le mardi 21 juin 2005 à 16:24 par E.

J'ai deux questions "techniques" :

1. Comment Tegam, une société qui n'existe, il paraît, plus peut interjeter appel, c'est-à-dire acter en justice ?

2. Que veut dire "la destruction des scellés" sollicité par les parties civiles ?

1. Ester. On dit ester en justice. Acter, c'est prendre ou donner acte. Pour le reste, TEGAM existe encore. Elle est en liquidation judiciaire, mais la personnalité morale subsiste pour les besoins de la dissolution. Notamment pour liquider les actifs (vendre les biens de l'entreprise) et acter en justice quand il y a une demande pécuniaire en jeu. Simplement elle est désormais représentée par son liquidateur et non son PDG.

2. Quand la justice, a ucours de l'enquête préalable (ici une instruction) opère des saisies, le tribunal doit décider soit de leur restitution, soit de leur confiscation (obligatoire si l'objet est illicite ou dangereux (stupéfiants, arme), soit de leur destruction. En l'espèce, TEGAM demandait à ce que l'ordinateur de Guillermito soit détruit. C'est assez ridicule, car TEGAM ne peut demander que la restitution d'un scellé lui appartenant ; pour le reste, c'est au ministère public de suggérer, et au tribunal de décider, certainement pas à la partie civile. Les scellés, ici, ne seront pas détruits, mais au pire confisqués.

Eolas

4. Le mardi 21 juin 2005 à 16:31 par Della

alors Monsieur Troll,

sachez que votre libre expression n'a de sens que si elle émane de vous en tant que tel,

renseignez nous !!

dévoilez vous !!

vous aurez compris qu'ici, tout le monde est acceuilli avec hospitalité sans condition d'appartenance ou non à telle ou telle société.

je ne pense pas trahir notre hôte en disant cela.

si vous commentez la décision, faîtes nous donc l'honneur de jouer le jeu jusqu'au bout et de participer à ces causeries avec votre point de vue circonstancié, même s'il reste anonyme !

5. Le mardi 21 juin 2005 à 18:03 par nico

Heu... moi j'ai quand même du mal à comprendre... Il est facile d'admettre que Tegam ait eu un manque à gagner à la suite de ce que guillermito a publié, ok. Mais en l'occurence, il a prouvé ce qu'il avançait ! comment peut on alors le condamner pour ça ??

C'est un peu comme si mr X publiait sur internet "je trouve une faille sur les pneus Y, qui éclatent dans telles et telles conditions, et voici les preuves". Evidemment la firme produisant les pneus Y aura un "manque à gagner", mais comment pourrait on condamner X pour ce manque à gagner, sachant qu'il prouve ses dires ???

La seule chose sur laquelle on peut condamner guillermito à priori c'est son utilisation de versions pirates de l'antivirus -- mais c'est sans rapport avec le "manque à gagner" de tegam... et dans ce cas la somme demandée est particulièrement élevée (et plus élevée que ce que tegam demandait en contrepartie de ce "piratage" à priori).

En toute honnêteté, je ne comprends rien du tout au pourquoi de la condamnation :-) -- personne pour m'éclairer ?

Hélas non, le jugement étant tellement sybillin que je suis bien en peine de le décrypter, n'ayant pas eu accès aux demandes détaillées de TEGAM. Souvenez vous que Guillermito est poursuivi pour contrefaçon de logiciel, pas pour avoir démontré qu'il avait des failles (ca, ce serait peut être les mobiles de TEGAM, mais passons). Or la contrefaçon d'oeuvre est un délit, un peu comme le vol pour les choses corporelles. Le principe de l'indemnisation est donc certain en cas de condamnation pénale de ce fait. Mais son évaluation ici reste un mystère.

Eolas

6. Le mardi 21 juin 2005 à 22:40 par Nobody

Bonjour,

Je n'a rien à perdre ou à gagner dans l'affaire mais je suis outré de cette condamnation.

"Selon que vous serez puissant ou misérable,
Les jugements de cours vous rendront blanc ou noir."
Jean de la Fontaine

Pauvre justice. Elle ne s'en sort pas grandie.

J'espère seulement une chose: Que internautes intelligents auront un peu de mémoire et ne pardonneront pas aux "auteurs présumés" de Viguard leurs agissements.

L'avenir nous le dira.

A plus

7. Le mardi 21 juin 2005 à 23:58 par Fred

une question d'ordre pratique: 14300 euros c'est une somme pour la plupart des particuliers.

Si un jour je devais payer cela je ne le pourrai tout simplement pas. Dans ce cas on a des délais?

Le recouvrement se fait par la partie civile, comme une dette ordinaire constatée par jugement : soit on accorde unpaiement échelonné, soit on envoie les huissiers.

Eolas

8. Le mercredi 22 juin 2005 à 00:32 par JacK

Je ne peux m'empêcher de faire le parallèle avec une affaire récemment jugée en Belle Gique ou le prévenu a été acquitté :

www.bloggingthenews.info/...

Apparemment la latitude à une influence sur l'attitude du tribunal....

On ne peut pas faire d'analogie : il s'agissait d'une affaire de diffamation, et Guillermito a été poursuivi pour contrefaçon, choix tactique très intelligent. L'analogie avec Monputeaux.com serait plus pertinente.

Eolas

9. Le mercredi 22 juin 2005 à 12:09 par Anceps

Bonjour,

S'il est poursuivi seulement pour contrefaçon, comment le manque à gagner de TEGAM pourrait-il excéder le prix d'une (ou 7 selon TEGAM) licence(s), ce qui ferait apparemment 558 € ? Cela impliquerait que le tribunal le reconnaît coupable d'avoir procuré à d'autres personnes le logiciel ; or, il me semble qu'il n'en est rien, malgré la copie de quelques octets tirés du logiciel.

Autre question, que dit l'article 475-1 du Code de procédure pénale ? J'imagine qu'il s'agit du remboursement des frais de procédure, mais une confirmation serait bienvenue.

Enfin, puisqu'il s'agit de mon premier commentaire, j'en profite pour ajouter mes propres félicitations et remerciements pour ce blog intéressant et à portée des gens qui n'ont jamais fait de droit, cela dans un français irréprochable et qui fait généralement cruellement défaut sur internet.

10. Le mercredi 22 juin 2005 à 17:32 par Mort de rire sur la prétendu innocence du sale gamin

Troll Detector XP vous annonce avec plaisir l'arrivée du premier troll Guillermitophage, dans une variante avocatophage triomphaliste peu dangereuse (et encore moins intéressante)

.

"Il ne peut pas être totalement admis que le prévenu se soit livré à une « entreprise de démolition » et ai procédé « avec un acharnement quasi obsessionnel au dénigrement du produit en cause » au point de « remettre en question la politique commerciale et scientifique de TEGAM."

peut aussi s'écrire :

"il est admis en partie que que le prévenu se soit livré à une entreprise de démolition et ai procédé avec un acharnement quasi obsessionnel au dénigrement du produit en cause au point de remettre en question la politique commerciale et scientifique de TEGAM."

Et c'est pour cela qu'il y a sanction. Guillermito est bel est bien coupable, mais en première instance on reste clément et on inflige pas la gifle maximum. Bel effet de manche Monsieur l'Avocat que de crier victoire à la lecture de ce jugement ! Mais un peu trop facile et pas très solide. La seule lecture du jugement est une lecture d'une sanction, pas d'une relaxe, ou d'une "relaxe canadadry". La motivation de la sanction est la culpabilité de Guillermito. Voilà. Même si une meute comme disent certains ne veulent pas le reconnaître.

Cher Maître, le plaisir des bons mots "relaxe canadadry" ne devrait pas entraver votre lucidité sur la nécessité de la peine dans cette affaire.

La suite en appel.

et peut-être un rebond jusqu'en cass pour le plaisir de faire durer le feuilleton. Mais Guillermito paiera sans nul doute à la fin. Il a peut-être intérêt à faire durer un peu. Cela causera donc encore sur les blogs.

Mes effets de manche ont visiblement un effet redoutable et une force de conviction surprenante, puisque TEGAM et E.D., l'auteur du logiciel, ont décidé de faire appel de cette décision qui selon vous leur donnerait raison. Je m'impressionne moi même. Enfin, les dommages intérêts ne sont pas une peine, mais une réparation. La peine, je vous le rappelle, est 5000 euros avec sursis et non inscription au casier judiciaire. La réparation est de 1,6% des demandes des parties civiles. Vous me permettrez de penser que votre litote de "ce n'est pas la gifle maximum" vaut largement celle du tribunal et ma "relaxe Canada Dry". Pour le reste, vous êtes libre d'analyser ce jugement dans ce sens, je n'ai pas la prétention d'être une autorité absolue.

Eolas

11. Le mercredi 22 juin 2005 à 18:49 par Veuve Tarquine

Mon cher confrère, je suis bien obligée de vous le dire, les trolls auxquels vous donnez refuge sont trognons !! D'ailleurs on voit bien qu'ils ont le pelage bien dru, le neurone rare et la bave généreuse !

De surcroît, je dois vous avouer que j'ai une tendresse particulière pour les trolls qui se lancent dans l'exégèse jurisprudentielle sans connaître la langue qu'ils analysent, c'est quand même du grand art (et surtout du grand comique mais en disant cela j'ai le sentiment de n'être pas charitable !)

12. Le mercredi 22 juin 2005 à 19:48 par Guillermito

"Sale gamin" à presque 36 ans, je prends ça comme un compliment :)

A voir. Avant, vous étiez un terroriste international. Vous perdez du galon.

Eolas

13. Le mercredi 22 juin 2005 à 21:52 par sircam

Que le quidam ne fasse pas la différence entre action pénale et action civile, entre peine et réparation, admettons. Mais qu'il se lance dans une logorrhée mêlant sanction, peine et relaxe à propos d'un jugement qui statue sur les intérêts civils pour étayer ses propos, c'est plus que grotesque : c'est trollesque, et c'est du troll de haut vol.

Ce blog a un certain standing et ne prend que ce qui se fait de mieux.

Eolas

14. Le mercredi 22 juin 2005 à 22:21 par djehuti

hello

> 558 € HT au titre de sa perte de chiffre d’affaire

préjudice (réel) estimé par les plaignants
la réparation devrait être de cet ordre, non ?

maintenant, le liquidateur a tout intérêt à essayer de récupérer le maximum de pognon... d'où l'appel de la décision, probablement

je me demande si un peu de pragmatisme ne soulagerait pas un peu cette justice qu'on dit surchargée

et combien cette histoire va t-elle coûter aux contribuables (pour rien) ? :-(

@tchao

Les juges sont assez généreux avec le préjudice moral des auteurs. Rappelons que Luc Besson a obtenu un million d'euro pour le parasitisme du personnage de Leeloo par la pub de SFR.

Eolas

15. Le jeudi 23 juin 2005 à 02:05 par Tweakie

Il y a un truc qui me semble etrange dans les demandes de Tegam :

> 631 100 € HT au titre du manque à gagner résultant de la campagne de dénigrement

Campage de denigrement ou pas, est-ce sense' etre pris en compte par le tribunal dans proces pour contrefacon ? Ou les reparations doivent-elles obligatoirement etre en rapport avec le motif de la condamnation ?

> et la mise à disposition sur Internet des éléments permettant de copier

Tiens, il me semble bien que ca vient de sortir, ca. Ca ne fait qu'entretenir la confusion avec le piratage/la distribution de warez. J'imagine que ca n'est pas totalement innocent.

> ou de neutraliser le logiciel VIGUARD.

Arf. Et c'est interdit par la loi, ca, maintenant ?

Pour finir, une question de beotien : c'est quoi le prejudice moral d'une entreprise ? Intuitivement, j'aurais dit que c'etait pareil que l'atteinte a l'image de marque, mais etant donne' que c'est liste' sous deux items differents, j'en deduis que je me gourre. Et c'est pas que le lien entre la contrefacon et ladite atteinte a l'image de marque soit franchement evident, hein...

16. Le jeudi 23 juin 2005 à 09:19 par Etienne

Tweakie ,

ta question :

> ou de neutraliser le logiciel VIGUARD.

Arf. Et c'est interdit par la loi, ca, maintenant ?

est en partie tranchée par la LCEN avec son article 46. La réponse est quasiment oui, c'est interdit par la loi. Tu ne peux pas fournir au public des moyens d'attaquer un logiciel, sans motif légitime. Tu dois en revanche pouvoir comuniquer tes trouvailles en cercle plus fermé, à des experts, pour étude et analyse, car là, le motif légitime est argumentable. Fournir à tout vents un soft qui sert à planter un moyen de défense informatique paraît difficilement légitime.

Dans le cas Guillermito, les faits sont antérieurs à la LCEN, donc cet article ne peut s'appliquer. Mais aujourd'hui, Guillermito pourrait être condamner plus gravement encore si il refaisait la diffusion de ses outils bidouillés destinés à planter Viguard (ou tout autre soft, car j'ai cru comprendre que le code Guillermito pouvait avec peu d'adaptation planter n'importe quel anti-virus sous OS windows 9x/Me).

17. Le jeudi 23 juin 2005 à 10:21 par Guignolito

@Etienne, votre argument n'est pas tenable. Je comprends que la LCEN condamne le fait de mettre d'envoyer un programme qui, à l'insu de l'utilisateur, neutralise son antivirus.
En revanche, si ce programme n'est pas un virus, mais est explicitement distribué comme le "proof of concept" qu'il est, aucun utilisateur ne peut affirmer ignorer ce que fait le programme (désactiver un prétendu antivirus).
Et enfin, sur son ordinateur, l'utilisateur est chez lui et fait ce qu'il veut. S'il a envie de bousiller tous les programmes et leurs fichiers de configuration (et expliquer à d'autres comment le faire), pourquoi l'en empêcher ?

Un peu hors-sujet : G.T. aurait eu un moyen simple d'éviter de copier les 80 octets. Il fallait en faire des "sommes md5", par exemple.

@Eolas: ceci m'amène à la question suivante : la somme md5 d'un fichier (ou d'une portion de fichier) copyrighté est-elle protégeable par le droit d'auteur ou non ? Je crois fortement que non, mais n'en suis pas sûr.

18. Le jeudi 23 juin 2005 à 10:31 par Marc

Je crois que cette affaire révèle le décalage entre décision de justice et démarche scientifique.

Pour le chercheur que je suis, M. Guillaume T. semble avoir eu une démarche honnête et légitime. J'admet toutefois ne pas avoir eu son étude sur mon bureau, et je ne me base que sur la narration qu'Eolas nous en fait.

Il est naturel de publier le produit de sa recherche, de la communiquer à l'ensemble de la communauté scientifique, en apportant les preuves exhaustives de ses dires.
Cela permet d'enclencher un processus de validation collegiale d'un propos scientifique.
On ne pourrait se baser sur des arguments de confiance du genre "ayant regardé le code et étant informaticien, je peux vous dire que...". Il nous faut nécessairement les sources.

Dans le cas de cette affaire, la société plaignante semble avoir utilisé une brêche dans notre dispositif légal.

Nous sommes tous d'accord sur les faits suivant :
- il a été démontré que cette société a mis sur le marché un produit deffectueux par rapport à ses ambitions affichées.
- la seule façon de procéder à cette démonstration est de publier l'étude effectuée avec les sources impliqués.
- La publication des sources est protégé.

Ainsi, n'importe qui peut éditer n'importe quel logiciel en prétendant n'importe quoi. Les contradicteurs auront deux possibilités : accuser sans prouver scientifiquement leurs affirmations, ou alors risquer des dommages-intérêts conséquents en apportant une preuve définitive...

Je ne suis donc pas étonné que le tribunal ait boté en touche en ne motivant pas avec précision ses attendus : en allant plus loin il soulignerait le défaut de cette loi de propriété d'un code informatique ce qui n'est pas souhaitable pour son crédit.

Il faut donc apporter un changement dans la loi régissant la propriété intellectuelle dans le domaine informatique.
Trop récente et conçue probablement par des non spécialistes, elle laisse place à des abus dont cette affaire n'est qu'une petite représentation.
Je pense qu'on pourrait, sur ce principe, monter des coups en toute légalité, notamment en sécurité informatique, dont les conséquences pourraient être beaucoup plus graves.

Amitiés,

Marc

Je ne puis être totalement d'accord avec votre récit de l'affaire. Tous les commentateurs ou presque semblent considérer comme acquis le fait que Viguard était un programme défectueux, voire inefficace, et que TEGAM le vendait en connaissance de cause. Il n'en est rien.

VIGUARD a, à l'époque où cette affaire a commencé, fait une publicité triomphaliste affirmant que leur programme, dans sa version 8, était "la protection infranchissable contre les virus connus et inconnus". Cette affirmation était largement exagérée : Guillermito l'a démontré, et l'expertise judiciaire a confirmé que VIGUARD était loin de tenir toutes ces promesses. De là à dire que VIGUARD n'apporte aucune protection, il y a un pas que certains franchissent avec la même légèreté que celle qui a initialement conduit TEGAM à présenter son produit comme une protection absolue.

Par la suite, TEGAM a modifié sa communication, certes toujours laudative, mais en précisant qu'utilisé avec un firewall et un anti-virus classique à signature, VIGUARD apporte une protection pas loin de l'invulnérable, ce que d'ailleurs plus personne ne conteste.

Ensuite, sur le parallèle avec la démarche de chercheur : l'analogie n'est pas pertinente. Le chercheur cherche ce qui n'a pas encore été trouvé, au risque de faire un truisme. Il cherche ce qui existe dans la nature mais n'a pas encore été découvert (la physique, la zoologie), ou de nouvelles façons d'influer sur son environnement (recherche chimique, ou médicale). Désosser un programme n'est pas de la recherche. Et s'il nécessite une copie - ce qui est sytématiquement le cas en cas d'installation sur un disque dur, on touche même à la contrefaçon : c'est un acte en principe prohibé car il porte atteinte à la propriété intellectuelle de l'auteur, sauf les exceptions prévues à l'article L.126-1 du Code de la propriété intellectuelle (CPI). Fut-il fait avec la méthodologie du chercheur. Chercher un virus, étudier les quarks, ne porte pas atteinte la propriété intellectuelle de la nature : ces découvertes sont libres de droit, contrairement aux applications qui en seront faites.

Que faire, selon le tribunal, pour démontrer en toute légalité que les qualités tant vantées d'un logiciel sont inexistentes ?

1 : Acheter le logiciel, et pas le télécharger en warez. Le fait de vouloir tester une voiture ne justifie pas son vol.

2 : Ne pas publier urbi et orbi sa démonstration avec des POC reproduisant une partie du logiciel, mais en publier les conclusions, la démonstration devant constituer une offre de preuve en cas d'action en justice de la part des ayants droits du logiciel. Si les qualités vantées sont à ce point inexistentes que l'on touche à la tromperie, exercer une action en justice, au besoin aux côtés d'une association de consommateurs.

Je ne suis pas d'accord avec cette solution, trop restrictive de la liberté d'expression, mais juridiquement, elle se tient.

Pourquoi n'est ce pas à mon avis une condamnation du full disclosure (je sais que Guillermito est en désaccord avec moi là dessus) ? Parce que la révélation d'une faille n'est pas en soi illicite. Elle le devient quand elle implique la reproduction du code source du logiciel. L'exploitation de cette faille, elle, est incriminée ; mais en l'espèce, ce fait n'est pas imputé à Guillermito. Eolas

19. Le jeudi 23 juin 2005 à 10:41 par Etienne

Guignolito,

si votre POC est distribué sans contrôle, vous ne pouvez pas prétendre que naîvement vous croyez que personne ne vas s'en servir pour faire de la casse chez quelqu'un d'autre. Votre distribution n'est pas légitime. Et la LCEN vous condamne.

C'est comme la fabrication et la vente d'armes. Il n'est pas interdit de fabriquer des armes, pas plus que de fabriquer des virus informatique je crois. Mais la vente (ou la mise à disposition gratuite, ou la diffussion) ne peut se faire à tout va. Vendre des armes à la police, la gendarmerie, aux forces armées est légitime (sécurité du public, de l'état). Distribuer des pistolets chargés au coin de la rue à qui veut en avoir un n'est pas légitime. Et vous n'accepteriez sans doute pas que l'on tolère de tels actes : vous hurleriez qu'il y a au moins complicité de meutre.

Guillermito a mis son POC en ligne sans contrôle de ce que l'on allait faire de son bidouillage. Cela ne peut pas être légitime. Il devrait aujourd'hui confiner la distribution de son code (en supposant que celle-ci ne soit pas frappée de contrefaçon) au seul public pouvant en avoir un usage légitime. La diffusion à tout va entraîne la complicité des actes destructeurs qui interviennent ensuite.

Eolas, qu'en pensez-vous ? Hormis le fait que Guillermito a agi avant la LCEN, si il redistribuait aujourd'hui un tel POC, serait-il coupable en plus en raison de l'article 46 de la LCEN ?

Moralement (puisque la LCEN ne peut être retenue au bidouillage antérieur à sa publication), Guillermito reste complice des actes de malveillances qui ont pu être fait avec son code. Cela me paraît clair.

Comparaison n'est pas raison, et l'analogie n'est pas une démonstration. Attention donc aux parallèles trop poussés, ici avec la vente d'armes. Une arme et un logiciel n'ont rien à voir, et les armes font l'objet d'une règlementation poussée sans rapport avec les logiciels.

De même, vous employez le terme complicité à mauvais escient. Juridiquement (la complicité morale est un concept indifférent), la complicité est entre autres l'assistance apportée en connaissance de cause à la commission d'un délit. L'élément moral suppose que l'auteur sache que son assistance va effectivement servir à accomplir un délit, et non qu'elle pourrait éventuellement permettre une telle commission. Ainsi votre distributeur d'armes chargé ne se rend pas coupable de complicité de meurtre, peu importe si Guignolito hurle ou pas, sauf s'il sait que la personne à qui il le remet va l'utiliser pour tuer quelqu'un.

Mettre en ligne une POC neutralisant un anti virus, voire tous les antivirus connus et inconnus (c) n'est pas un acte de complicité du délit de piratage commis par ceux utilisant ce logiciel. Quant à l'article 46 de la LCEN, que vous devriez plus judicieusement appeler l'article 323-3-1 du Code pénal, je ne suis pas certain que Guillermito serait tombé sous le coup de cette incrimination. En effet, le matériel en question doit avoir été "conçu ou spécialement adapté" pour commettre une des infractions prévues par les articles 323-1 à 323-3. Une POC n'a pas d'objet en soi autre que de démontrer la pertinence d'une démonstration. Elle n'est pas spécialement conçue pour commettre le délit de piratage. Je suis donc dubitatif sur l'application hypothétique de l'article 323-3-1 du Code pénal au cas Guillermito, ces faits se produiraient-ils aujourd'hui.

Eolas

20. Le jeudi 23 juin 2005 à 11:54 par Guignolito

@Etienne : d'abord ne comparez pas du code, qui est immatériel, à des armes, qui sont un produit physique, matériel, palpable, lourd et difficile à produire de surcroît. Et la fabrication d'armes est sévèrement contrôlée, si je me souviens bien.

Un logiciel, un code, est facilement inventable et copiable.
Dès que du code source est mis 1 seule fois à disposition, avec ou sans contrôle, cela revient à le mettre à disposition de toute la planète. Il pourrait le mettre tout à fait légitimement à disposition (sous GPL, par exemple, car rien ne dit dans la LCEN que la GPL est interdite) d'un chercheur en sécurité d'un "paradis informatique" quelconque.
Ledit chercheur, en accord parfait avec les lois de son pays (un paradis informatique => pas de LCEN) mettrait le code sur sa page web.
Nos deux zigotos sont donc innocents et de bonne foi, et le code est à la disposition des pires terroristes internationaux connus (ou non) du FBI et de la DST !

Eolas me confirmera peut-être, mais je ne crois pas que votre interprétation de la LCEN soit la bonne. Et si elle l'est, la LCEN a un sacré bug !

Déjà répondu sous le commentaire précédent.

Eolas

21. Le jeudi 23 juin 2005 à 12:00 par Etienne

Bon nombre de personnes sont convaincus que mon interprétation est la bonne.

Seulement, on n'a encore condamné personne de cette façon à ce jour. Pour Guillermito, il est sauvé car les faits sont antérieurs. Tant mieux pour lui. Mais s'il recommence en France, il en prendra pour beaucoup plus avec cette nouvelle loi.

Je crois qu'il faut que la communauté des informaticiens le sache. Ce n'est pas un bug, mais une protection de la société voulue par la loi et votée par le parlement et le sénat l'an dernier.

22. Le jeudi 23 juin 2005 à 12:09 par Marc

Sur ce point, la loi aux EU a peut être changé mais je me rappelle que l'exportation d'un code tout simple de cryptage RSA était considéré au même rang que les armes lourdes.

Cela était absurde puisque le principe de ce code est élémentaire et n'importe quel lycéen sachant un peu programmer peut le réaliser en quelques lignes. Pour dénoncer cette directive, on avait fait imprimer des T-shirt brandissant le code incriminé et titrant "Ce T-SHIRT EST UNE ARME LOURDE" ainsi que la référence de la loi en question.


Je ne crois que quelqu'un ait fait de la prison pour ça. Mais cet exemple montre encore l'inadaptation de la justice (américaine ici) face aux nouvelles technologies.

On ne peut pas reprocher aux juges de ne pas être des pros en informatiques, ni au législateur de se planter devant des problématiques dont il est totalement étranger (les exemples sont nombreux), mais un peu de souplesse dans les jugements et le recours aux experts devrait être la rêgle.

Amitiés,
Marc

23. Le jeudi 23 juin 2005 à 13:24 par globo l'trobô

à Etienne: Guillaume ne peut pas être complice des personnes qui utiliseraient à mauvais escient les données de ses PoC car la complicité suppose l'intention d'aider à la réalisation d'un crime ou d'un délit. En l'espèce il ne sait pas qui accède à ses PoC, encore moins ce que ces personnes en font par la suite. Certes il fournit les moyens mais, à ce compte, l'armurier qui se contente de vendre une arme à un individu lambda est complice des bracages faits par la suite avec cette arme.

Reste que l'article 323-3-1 du Code pénal (l'article 46 de la LCEN) punit le simple fait de mettre à disposition un équipement, un instrument, un programme informatique ou toute donnée conçus ou spécialement adaptés pour commettre une ou plusieurs des infractions [notamment le fait de supprimer ou de modifier frauduleusement les données contenues par un système de traitement automatisé de données]. Ca pourrait être le cas en l'espèce.

Une chose cependant, le texte prévoit que le délit n'est constitué qu'en l'absence de motif légitime. Kézako? Le texte de loi a été pas mal discuté au Parlement, et notamment au Sénat, certains ayant d'abord proposé une approche très restrictive. C'est finalement Alex Türk de la Cnil qui a emporté le morceau et obtenu que soit fait référence à l'absence d'un motif légitime.

L'expression est volontairement très vague, mais Alex Türk indique dans son rapport, je cite, que: Naturellement, la recherche scientifique et la sécurisation des réseaux pourraient entrer dans le champ des motifs légitimes. Il reviendrait au juge d'apprécier la légitimité des motifs, dès lors qu'il est impossible dans la loi d'envisager toutes les hypothèses dans une telle matière.

Même si le texte était applicable au cas de Guillaume, il est donc vraisemblable que le tribunal conclurait à la présence d'un motif légitime (mettre en garde contre les défauts d'un logiciel dit de sécurité) pour écarter l'application de l'article 323-3-1 du Code pénal.

Enfin c'est mon avis qui vaut ce qu'il vaut donc pas grand chose.

24. Le jeudi 23 juin 2005 à 13:41 par Bertrand Lemaire

Je suis vexé et jaloux. Eolas se garde tous les trolls pour lui. Mon blog professionnel avait pourtant été largement trollisé la dernière fois mais, là, rien, pas un commentaire sur ça : blog2.lemondeinformatique...

Je vous les refile bien volontiers. Vous voulez Etienne ?

Eolas

25. Le jeudi 23 juin 2005 à 13:51 par globo l'trobô

désolé, j'avais pas vu la réponse d'Eolas à Etienne.

Personnellement je ne suis pas convaincu par l'affirmation selon laquelle l'article 323-3-1 est a priori inapplicable en l'espèce. Après tout, le programme de Guillaume est bien conçu pour modifier sans autorisation les données de Viguard, pile l'article 323-3.

C'est jouer sur les mots que de dire qu'une PoC n'est pas conçue ou <spécialement> adaptée pour commettre une des infractions prévues par les articles 323-1 à 323-3. En revanche, le fait qu'elle n'a pas d'objet en soi autre que de démontrer la pertinence d'une démonstration constitue le motif légitime permettant d'écarter 323-3-1.

C'est donc sur le motif légitime et non sur le fait que la PoC n'est pas spécialement adaptée à commettre une des infractions visées qu'il me semble falloir écarter 323-3-1.

Ah, les joies du droit de l'informatique...

Contrairement à ce qu'un Troll dont le message vient de partir à la poubelle fait semblant de ne pas avoir compris, j'exprime une opinion personnelle, sur la foi non de l'analyse des POC en question que je ne n'ai jamais vu mais des diverses explications données par les geeks qui me lisent. Les POC avaient elles pour effet de désactiver Viguard, ou de permettre à tout un chacun de vérifier personnellement la véracité de ses affirmations ? Pouvaient-elles facilement être utilisées pour permettre une infection virale d'un ordinateur protégé par Viguard ? En clair, Guillermito a-t-il fait une POC ou un virus anti Viguard ?

Eolas

26. Le jeudi 23 juin 2005 à 14:52 par Guignolitroll

Tiens, entre 2 actualisations, il m'a semblé que des commentaires ont disparu ? Que s'est-il passé ?

Un seul. en fait, du dénommé Etienne. Du fait que je n'étais pas d'accord avec son interprétation de l'article 46 de la LCEN, il est passé aux attaques ad hominem. Je suis furieux car j'ai pris du temps pour lui répondre, et j'ai autre chose à f... que de prendre 20 mn pour pondre une réponse argumentée et me faire insulter en retour.

Eolas

27. Le jeudi 23 juin 2005 à 15:29 par Guignolitroll

Allez, je trolle : entre un POC et un virus anti Viguard, la différence est techniquement très mince, sachant que le POC, comme tout code, peut être intégré à n'importe quel véritable virus (avec un peu d'huile de coude, certes).

28. Le jeudi 23 juin 2005 à 15:31 par djehuti

> Je crois qu'il faut que la communauté des informaticiens le sache. Ce n'est pas un bug, mais une protection de la société voulue par la loi et votée par le parlement et le sénat l'an dernier.

ouais, une loi inique
(non souhaitée par les principaux intéressés et les défenseurs des libertés)

marre du lobbying alakon dédié au dieu pognon

@tchao

En fait, cet aspect de la LCEN est la transcription en droit français d'une directive européenne. Pas de lobbying ici.

PS : si vous détestez le Dieu pognon, je vous en débarasse volontiers.

Eolas

29. Le jeudi 23 juin 2005 à 17:58 par Maxime Ritter

Etienne: vous semblez bien être au courant de la loi, mais sur ce que vous prétendez, il y a débat entre les juristes. Mais quand bien même votre interprétation serait bonne (ce dont je doute), ce n'est pas pour autant que la loi sera bonne...

Alors Guillermito nous prouve certes que ViGuard est désactivable, mais il s'arrête là. Vous me direz, c'est facile de rajouter la charge virale derrière certains PoCs, puisqu'il explique comment contourner et laisser inactive la surveillance de ViGuard. Mais ce n'est pas dans but d'attaque. Regardez sur webarchive par exemple pour constater a quel point il y avait possibilités de désactiver ViGuard sous windows 98: web.archive.org/web/20021...
Etait-ce écrit dans un but de faciliter le travail aux fabriquants de virus ? Et, en pareil cas, quelqu'un a-t-il fait un virus désactivant ViGuard ? (une protection faible et de nature peu commune a comme caractéristiques de fonctionner malgré tout parce que l'attaquant ne s'y attends pas). Comment fait le consommateur pour se défendre si ceux qui savent le faire n'ont pas le droit de montrer les failles des logiciels ? Est-il aussi interdit de démontrer que la serrure super-machin-anti-cambrioleurs se crochète en réalité en 3 secondes contrairement à ce qu'annonce son fabricant ?

Je ne vais pas m'amuser non plus à vous rappeler comment fonctionne le monde de la sécurité informatique à l'heure actuelle, je n'ai guère envie de me faire insulter en retour d'un long texte à ce sujet qui fait débat entre "chercheurs" eux-mêmes. Mais la diffusion de PoC et même d'exploits est chose courante on ne peut courante.

30. Le vendredi 24 juin 2005 à 10:14 par Etienne

Ma remarque provoque débat. Tant mieux car je crois qu'il y a matière à débat. Si certains mots ont été considérés comme insultant, je vous prie de m'en excuser, le Directeur de la Publication a de doute façon un droit (et un devoir) de censure. Je reformule mon commentaire envoyé à la poubelle en disant qu'en matière de procès, tous les avocats se battent avec force pour affirmer qu'ils ont raison, mais que statistiquement ceux-ci perdent une fois sur deux. dans il y a en général deux avocats dans une affaire, un pour chaque partie. Au final, un perdant et un gagnant et pourtant chacun défend avec force et conviction. Que Maître Eolas m'en excuse, mais je crois que le sujet de l'article 46 de la LCEN, son argumentation n'est pas gagnante à coup sûr. En particulier, si la diffusion de codes provoque des dégats importants, je suis convaincu que des procureurs sauront utiliser cet article pour demander des peines afin de protéger la société.

Je n'ai jamais prétendu que mon avis avait une autorité absolue. Mais au moins j'ai fait l'effort de le motiver.

Quand au fond de l'affaire : peut-on et doit-on tout dire sur tout ? Est-ce utile ? L'essentiel de la communauté lisant ce blog pense sans doute que oui et, si je comprends bien, Maître Eolas défend cette expression libertaire.

Non, le fond de l'affaire n'est absolument pas là, et non, ma position n'est absolument pas celle là. Guillermito n'est pas poursuivi pour dénigrement, diffamation, abus de la liberté d'expression ou délit de grande gueule. Il est poursuivi pour contrefaçon. Là, je suis catégorique.

Pourtant, en matière de défense militaire la diffusion de faille de sécurité n'est pas pensable. En matière de sécurité d'entreprise, la communication publique de failles de sécurité par un salarié serait considérée comme une faute grave, voire une faute lourde par tout conseil de prud'homme. Ce n'est que depuis la naissance du Web et des forums de discussions que l'on considère que tout peut être dit sur tout. Cette parole excessive n'est pas une faille de sécurité ? La sécurité informatique doit-elle être différente de la sécurité militaire ou de la sécurité des entreprises ?

Guillermito n'était pas salarié de TEGAM. Viguard n'a aucune application militaire (qui a dit dieu merci ?). Et qu'est ce qui porte plus atteinte à la sécurité des entreprises ? Le programme qui ne défend pas aussi bien qu'il le prétend, ou celui qui le démontre ?

Et dès lors ne pourrait-il y avoir aussi condamnation pour des publications non justifiées ?

Dès qu'on aura inventé le délit de publication non justifiée, oui. En attendant, non, faire ce qui n'est pas interdit reste autorisé.

Dans l'affaire Guillermito, ce qui est choquant est que cet individu a publié dans le Virus ou Pirate Mag et des forums "underground". A quoi ses bidouillages étaient-ils destinés ? A informer le public ? Peu crédible, il y a d'autres supports pour cela, des associations de consommateurs et même un régulateur la DGCCRF ! A permettre à d'autres membres de ces communautés à passer à l'acte en ajoutant un code reproducteur ? peut-être et en tout cas proche de la réalité du lectorat à qui il destinait ses trouvailles. A régler des comptes personnels avec Eyal Dotan suite à l'émission de TF1 avec Stéphane Collarot quelques années avant le POC ? Là, seul lui-même pourrait répondre ...

Contrairement à ce que son accent du sud pourrait laisser croire, Gyuillermito n'est pas corse. Les histoires de vendetta parce qu'on a parlé de lui en 98 chez Collaro, je les trouve encore moins crédibles que celle du chercheur que l'on provoque à démontrer ses affirmations et qui les fait avec une démarche de chercheur, ce qui est précisément son métier : démonstration, publication.

La faille mise à jour par Guillermito a été corrigée ... par Microsoft avec Windows NT, Windows 2000 et Windows XP, et non par Tegam. Sa publication aurait du être faite en présentant le risque comme étant commun à tous les anti-virus sous windows 9x/Me, y compris le célèbre Viguard qui arrête 100% des virus connus et inconnus comme Tegam se plaisait à l'affirmer avec sans doute maladresse. Le travail de Guillermito n'est pas honnête et s'apparente à du règlement de comptes, ou de l'inentention profonde avec un individu et une société, plus qu'à de la recherche scientifique. De là, la demande de réparation est fondée, ainsi qu'en a jugé le tribunal avec, il est vrai, une très grande (trop grande ?) clémence.

ce qui me paraît extraordinaire, c'est que Guillermito a donc bien selon vous démontré la réalité d'une faille, ce que TEGAM a nié jusqqu'au bout avec la dernière énergie, et que ce serait lui qu iserait malhonnête de par cetet révélation. Je trouve un peu fort de voir le menteur (selon vous) poursuivre celui qui a dit la vérité pour le tort que cette vérité lui a causée. C'est mon côté libertaire, sans doute.>

Eolas

31. Le vendredi 24 juin 2005 à 12:31 par Guignolito

Etienne : ce qui est choquant, ce sont les gens qui prétendent limiter votre liberté d'expression au noms de grands principes comme la Sécurité, avec un grand S.

Vos arguments sont fort faibles, et en plus, vous écrivez très mal le français, ce qui fait que certaines de vos mots ou phrases sont complètement incompréhensibles, du genre : "inentention" ou "Cette parole excessive n'est pas une faille de sécurité ?".

Sans compter les arguments risibles, notamment concernant les motivations larvées des gens. Moi, je prétends que VOUS, vous avez des intentions louches et peu claires. Et en fouillant un peu, je devrais même arriver à vous trouver un lien familial avec les Liquidatian/Judicièrsky, et voir que tout ceci s'apparente à du règlement de comptes.

Bref, on va pas se fatiguer pour vous, ça n'en vaut franchement pas la peine.

32. Le vendredi 24 juin 2005 à 12:34 par Guignolito

D'ailleurs, j'ai même pas pris la peine de corriger mes vilaines fautes d'orthographe et de grammaire. :-(

33. Le vendredi 24 juin 2005 à 14:52 par Etienne

Hahaha !

vous êtes trop drôle. Mais non, je n'ai aucun lien avec la société Tegam ou la famille de ses actionnaires.

Le refus de répondre à la question des véritables motivations de Guillermito est en soi un aveu manifeste. Guillermito n'est pas un charcheur en sécurité informatique. C'est quelqu'un a des comptes à régler avec d'autres.

Partie du message supprimée car diffamatoire

34. Le vendredi 24 juin 2005 à 15:05 par djehuti

> Le refus de répondre à la question des véritables motivations de Guillermito est en soi un aveu manifeste [bla bla bla]

et le refus d'envisager que les véritables motivations de Guillermito ne sont pas celles que tu crois... est l'aveu manifeste d'un esprit étriqué et d'un parti pris irrationnel

bien entendu, si tu connais réellement ces motivations...

@tchao

35. Le vendredi 24 juin 2005 à 15:44 par Guignolito

Les véritables motivations (affreuses et perverses, bien entendu) de Guillermito, je ne peux vous les dire : je ne les connais tout simplement pas, car je n'ai pas le super-pouvoir de lire dans les pensées d'autrui à des milliers de km de distance.

Bien entendu, M. Etienne l'a, et il est aussi capable de tirer des super-conclusions d'une émission vieille de je ne sais combien d'années sur une chaîne que je ne regarde jamais, car son contenu vaut ce qu'on sait.

À votre place, avec de tels pouvoirs, j'en profiterais pour me faire une place au soleil par quelques placements bien choisis en bourse (paraît que SoftEd, c'est _in_), au lieu de troller avec des arguments aussi miséreux.

36. Le vendredi 24 juin 2005 à 16:27 par Etienne

Cher Mâître,

vos compétences juridiques sont sans doute réelle, mais techniquement, vous confondez une faille de Viguard et une faille de Windows 9x/Me. Tegam n'avait pas à répondre à une faille ne le concernant pas et que Microsoft a corrigé au prix d'efforts énormes.

Secondo, la partie que vous avez censurée ne me paraît pas diffamatoire, Guillermito a bien rencontré Eyal Dotan en 1998 sur un plateau de télévision. Poser la question de l'origine de leur conflit est normal pour comprendre cette histoire complexe. L'histoire du POC est de 2001, mais l'affaire commence-t-elle là ?

Est-ce de la diffamation que de s'interroger de la sorte ?

Sur les failles : je reconnais être un non geek et incapable de vérifier la véracité de vos dires. En tant que consommateur, toutefois, je compte naivement sur mon firewall et mon antivirus pour me protéger contre ces failles. Si elles sont tellement béantes que ces programmes ne servent à rien, je trouve queje paye bien cher pour ne pas être protégé. Sur la diffamation : vous ne vous posiez pas de question, cher Etienne, vous affirmiez, et des faits remontant à 98 constitutifs d'une infraction : or l'imputation d'une infraction est une diffamation, et quand ladite infraction est prescrite, il n'est pas admis de rapporter la preuve de sa réalité. Ergo, vos propos étaient diffamatoires.

Eolas

37. Le vendredi 24 juin 2005 à 17:51 par Roland Garcia

Cher Etienne, sachez que Microsoft ne peut corriger ce qui ne peut pas l'être.

Quelque soit l'OS on est condamné tôt ou tard à devoir installer un programme en mode administrateur, en espérant, faute de détection par un antivirus à jour, qu'il ne cachera pas un cheval de Troie.

Vous n'avez visiblement (ou faites semblant) rien compris à la théorie des virus, aussi je vous invite à relire les travaux de Frederic Cohen.

Quant à l'origine de "l'affaire", il n'y en a pas d'autre que l'affirmation par Guillermito et moi-même de la vérité scientifique consistant en l'impossibilité pour tout antivirus de détecter à priori tous les virus et programmes malveillants, et qu'en conséquence nous sommes condamnés pour l'éternité à les mettre à jour.

Un antivirus à jour détecte le programme qui va le désactiver sous Win98 ou XP en mode administrateur, et sauve l'utilisateur, CQFD.

38. Le vendredi 24 juin 2005 à 18:30 par Etienne

Maître eolas, si vous avez raison sur un écart de mes propos qui auraient été diffamatoire, je n'ai qu'à vous remercier de les avoir supprimés. L'intention n'étant pas de diffamer mais de comprendre, peut-être nous rejoignons-nous là.

Monsieur Garcia, votre comparaison avec les travaux de Cohen est un peu gonflé. permettez-moi de ne pas faire d'équivalence entre les travaux de Cohen de qualité et les bidouillage de Guillermito. Au demeurant, il était facile de développer une démonstration de la vulnérabilité d'un anti-virus installé sous un OS non sécurisé (je ne dis pas de l'antivirus lui-même) sans balancer des codes en lignes. Mais peut-être n'était ce pas dans les capacités de Guillermito que de développer une démonstration théorique implacable sans se comporter comme un bidouilleur. On reste très proche de comportement de développeur de virus dans cette affaire.

Maintenant, faut-il faire un POC parceque MailinBlack affirme arrêter 100% des spams, ou une démonstration théorique est-elle suffisante ?

C'est une question de comportement. On a une âme de pirate ou non ... peut-être ce qui nous sépare.

39. Le vendredi 24 juin 2005 à 18:51 par Roland Garcia

<<permettez-moi de ne pas faire d'équivalence entre les travaux de Cohen de qualité et les bidouillage de Guillermito>>

Permettez moi de la faire et de penser être plus crédible que vous.

Quant à la mise en ligne j'y ai toujours été opposé. Vous devez confondre avec le journal (indépendant ?) qui a, nous dirons "supervisé", puis publié ces travaux.

40. Le vendredi 24 juin 2005 à 18:59 par Etienne

trop drôle !!!!

et il a publié quoi et dans quelle publication scientifique traitant des virus informatique le dénommé Guillermito (autre que des bidouillage sur des sites underground) pour avoir les honneurs d'une telle comparaison ?

et qui sont les hommes de sciences qui ont travaillé avec Guillemito sur les virus informatiques (autre que des développeurs de virus underground) ?

Je crois savoir que Mag-Securs s'est largement fait écho de ces travaux, non ?

Eolas

41. Le vendredi 24 juin 2005 à 19:03 par Scalde

Dites, on s'amuse bien ici. Je voudrais bien jouer aussi

"Des publications non justifiées" . Une âme de censeur cet Etienne. je croyais révolue l'époque de l'imprimatur.

Ceci me fait d'ailleurs furieusement penser aux écrits de qq proches de Tegam . Faudrait que je retrouve l'article dans lequel était fustigée cette communauté internet "libertaire" (tiens on retrouve le mot utilisé par Etienne) qui publie des documents mettant en danger les entreprises,avec comme conséquence directe, la nécessité de museler cette communauté d'irresponsables. (sic)

Comme Etienne veut voir absolument un règlement de compte dans le chef de Guillermito autre qu'une exaspération provoquée par la morgue publicitaire de Tegam, je lui propose une autre hypothèse : Guillermito serait le bras armé de Zvi Netiv, le véritable créateur de VIguard (c'est lui qui l'affirme, sans procédure en diffamation de Tegam) qui se vengerait ainsi d'avoir été spolié.
Bah, cela se tient aussi bien que ce conte avec TF1.

"Tous les avocats se battent avec force pour affirmer qu'ils ont raison, mais que statistiquement ceux-ci perdent une fois sur deux." écrit Etienne

C'est quand même un peu n'importe quoi. Faudrait quand même réfléchir avant d'écrire de telles énormités.

Un simple résumé du procés montre l'inanité de cette affirmation.
Tegam réclamait 900.000 € et leur avocat a plaidé pour qu'il en soit ainsi
l'avocat de Guillermito plaidait pour ramener au minimum possible voire rien du tout.

Le juge a sans doute estimé les prétentions de Tegam exorbitantes mais a quand même condamné GUillermito a payer 13.000 €.

Si l'avocat de Tegam n'avait pas plaidé, il n'aurait rien eu. Il a donc gagné
Si l'avocat de Guillermito n'avait pas plaidé, Guillermito pouvait se taper un max. Il a donc gagné également.

Quand un avocat obtient par ex. des circonstances atténuantes, on peut penser qu'il a gagné même si son client est condamné.

Vous dites ? Aah, pour Etienne, il fallait laminer Guillermito et c'est pour cela que l'avocat de Tegam n'a pas gagné.
Ben oui, y a eu un os. Un juge cela s'appelle, qui tranche entre les parties.
Mais non je n'ai pas écrit : les parties. M'enfin

42. Le vendredi 24 juin 2005 à 19:18 par Roland Garcia

"et il a publié quoi et dans quelle publication scientifique traitant des virus informatique xxxxxx pour avoir les honneurs d'une telle comparaison ?"

Tiens ? j'ai lu la même argumentation à mon sujet :)

43. Le samedi 25 juin 2005 à 00:47 par chris

>> "et il a publié quoi et dans quelle publication scientifique traitant des virus informatique
>> xxxxxx pour avoir les honneurs d'une telle comparaison ?"
>
> Tiens ? j'ai lu la même argumentation à mon sujet :)

Oui, mais maintenant, il s'est acheté un clavier avec accents.
Vous croyez que cela a un rapport avec les indemnités de licenciement ?
Rha, l'argent gâche vraiment tout...

44. Le lundi 27 juin 2005 à 09:48 par Etienne

Pour les privates jokes, je ne comprends pas tout. J'ai l'impression que certaines personnes (chris entre autres) semblent me confondre avec d'autres que je ne connais pas. Mais bon ...

Maitre Eolas, je n'ai pas trouvé de publications de Guillemito sur mag securs (à moins que j'ai mal cherché). Si vous en avez uen pouvez-vous me le préciser ?

Par contre, j'ai trouvé un vrai travail de chercheur www.mag-securs.com/article.php3?id_article=2183 qui expose les problèmes des anti-virus et aborde, sans nommer de produits, le cas des anti-virus tels que Viguard, c'est-à-dire des contrôleurs d'intégrité. La démonstration est claire et parfaitement compréhensible. Il n'est donc pas besoin de faire de la contrefaçon, ni même de mettre des POC anti-viguard en ligne pour s'exprimer quoiqu'en pense une certaine communauté underground.

La conclusion est qu'aucun anti-virus n'est un produit miracle, mais qu'une combinaison de plusieurs solutions peut être très efficace. Quelqu'un écrivait qu'un contrôleur d'intégrité sur le poste, telque Viguard, et un antivirus à signatures en passerelle intégré sur un firewall est une bonne défense. Viguard a donc une belle place dans la lutte anti-virale.

Il faudrait aussi dans tout ce débat que certaines personnes sachent être intellectuellement honnête. Tout l'acharnement d'une communauté sur un produit est scandaleux quand ce produit a une utilité.

Je n'ai jamais dit que Guillermito avait publié dans Mag-securs, j'ai dit que ce journal s'était fait largement l'écho de ses travaux. J'ai oublié, suis-je distrait, de préciser que cet écho était négatif et parfois signé TEGAM. Ce même TEGAM qui sur la boîte de sa version 8, celle qui a provoqué l'intérêt de Guillermito, il était écrit que cet antivirus détectait 100% des virus connus et inconnus (j'ai une photo de la boite, si vous avez dez doutes). Je ne pense pas que le concepteur de Viguard ignorait ce qu'expose l'article que vous citez. Alors ? Vous parliez d'honnêteté intelelctuelle et de rigueur scientifique ?

Eolas

45. Le lundi 27 juin 2005 à 10:52 par Etienne

Cher Maître,

il est peu fréquent d'exiger que la publicité soit d'une rigueur scientifique. Le discours scientifique ne fait pas vendre, il faut trouver d'autres choses. Tegam n'a rien fait d'extraordinaire. Son marketing est sans doute maladroit. Mais dans le fond, il est vrai que Viguard arrête de nouveaux virus sans connaître de signature, simplement en vérifiant l'intégrité du système : cela fonctionne.

Regardez ce que fait MailInBlack www.mag-securs.com/article.php3?id_article=1630. Il prétend arrêter 100% du spam. Il est vrai que le journaliste nuance cette affirmation, mais pas la société.

Faut-il pour autant organiser une mise à mort de cette société ? Développer des spams spécifiques pour planter MailInBlack et mettre des POC en ligne pour montrer que cela peut marcher ?

La défense sans limite de toute une communauté pour Guillermito pousserait dans ce sens. Franchement, à quoi cela servirait-il ?

S'il y a débat sur ce genre de publicité, cela doit se faire dans les grands titres de la presse "consommation" et à la DGCCRF. Cela se fait tous les jours, et sans mise en ligne de codes d'attaque d'un produit.

Ne croyez-vous pas que les consommateurs ne sont pas assez grands pour se faire un jugement par eux-mêmes, que l'on peut les éclairer avec des travaux scientifiques, pas des travaux proches de la création de virus avec mise en ligne du code (qui selon moi tombe désormais sous le coup de l'article 46 de la LCEN, même si vous n'êtes pas de cette opinion ... la jurisprudence finira peut-être par vous faire changer d'avis...).

La condamnation de Guillermito me paraît donc normale. En matière de sécurité informatique tous les RSSI vous diront que l'exemple est necéssaire pour calmer les bidouilleurs. La peine est nécessaire. Même si un avocat peut défendre le coupable. Il faut protéger la société. Faire de Guillermito un héro me paraît être une grave erreure.

46. Le lundi 27 juin 2005 à 11:45 par E.

Cher ami Etienne

Vous semblez confondre l'énoncé "il faut protéger la société" avec l'énoncé "il faire proteger la société X" (en occurence Tegam).
Ici :
www.kitetoa.com/Pages/Tex...

vous trouverez l'analyse des écrits de l'attachée de presse de Tegam qui, elle, développe des arguments tout à fait semblables. Vous êtes peut-être le membre de son fan-club ?

47. Le lundi 27 juin 2005 à 12:06 par Guignolito

@Etienne :
Et oui ! Tout le monde, chercheur ou pas, a le droit de créer un mail qui passera sans sourciller les routines de détection de Mail in Machin ou autre. Et a le droit de le crier sur tous les toits sans que le ciel ne lui tombe sur la tête. C'est de la liberté d'expression pure et simple.
On n'en est pas encore au stade où seuls de soi-disant experts auraient autorité pour dire au grand public ce que valent les produits. Et faire confiance aux "grands titres d'information" pour critiquer leurs annonceurs, vous vivez dans quel monde ?

Mais ne dites surtout pas que vous avez créé votre mail à l'aide de versions sans licence de l'antispam, et évitez de diffuser 80 octets tirés du code binaire original, ça ferait mauvais genre. Et devrait vous coûter aux alentours de 14300 €. Seuls motifs de condamnation. G.T. a été dédouané pour tout le reste ("diffamation", "création de virus", etc...).


@Eolas :

je vous affirme, après un raisonnement digne du grand Sherlom Holckes, que l'âne onyme qui se cache sous le pseudo Etienne ressemble fortement à votre préféré, le Trollus Ericus.

Les preuves : d'abord les fautes caractéristiques. Et ensuite, une recherche dans mon moteur préféré sur "Collaro" et "Dotan" ne donne que 2 sites. Le votre, et celui-ci : blog2.lemondeinformatique...
Voyez les arguments développés par "Eric", et comparez...

La raison pour laquelle TrollDetector ne réagit pas tient probablement au fait que Trollus Ericus a remarqué qu'il se faisait détecter à cause de son adresse IP, et donc a décidé de changer de provider.

Le parallèle ne m'avait pas échappé, et l'adresse IP n'est pas si différente que ça. Simplement, Troll detector est un logiciel comportemental. Dès qu'un Troll prend la peine de rédiger des réponses argumentées, sur un ton courtois tout en étant polémique, il n'est plus un Troll, ne se fait pas pinguer et est le bienvenu ici. Tel est le cas d'Etienne, qui exprime notamment dans sa dernière intervention un point de vue motivé et cohérent.

Eolas

48. Le lundi 27 juin 2005 à 13:44 par Etienne

Dans cette affaire, vous aurez compris que je considère, en qualité de simple quidam, que la sanction et les réparations ne sont pas volées. J'irai jusqu'à penser que Guillermito m'en tire à très bon compte.

Je suis d'accord avec beaucoup de vos lecteurs pour dire que la communication de Tegam (ou son marketing) n'a pas été de la plus grande finesse et eut été perfectible. Pour autant, il ne faut confondre les atouts techniques d'un produit avec la qualité de la communication d'une société. Qu'en à la défense du consommateur ignorant, restons calme : aucun logiciel ne peut être dépourvu de bugs. Pour autant, envisage-t-on de jeter toute l'informatique ? Là aussi, il faut savoir raison garder.

Il est vrai qu'au final le fait sur lequel se fonde la sanction est décevant : "la contrefaçon". On aurait attendu autre chose. L'individu, client officiel et adpotant une même démarche, eut-il été condamné ? Eut-il été pourtant moins fautif ?

Aussi me permets-je de formuler une hypothèse odacieuse : Tegam aurait-il mal rédigé sa plainte contre X et de ce fait enfermé le tribunal dans une logique étroite aboutissant à ce jugement étrange. En d'autres termes, Tegam, plus fin ou mieux conseillé dès le début, aurait-il pu parvenir à un jugement plus tranché mettant en avant la faute (à mon avis) qui consiste à fournir au public, sans limitation, un moyen de désactiver Viguard (c'est-à-dire quasiment le coeur d'un code source pour lancer un virus anti-Viguard - il ne manquait que la partie reproductive pour que le virus soit complet).

Car je maintiens que le comportement de Guillermito n'a pas été le bon et n'est pas acceptable dans une société organisée. Donc que la peine est nécessaire. Le vrai travail scientifique est plus du côté du professeur Filiol, qui d'ailleurs est beaucoup dur sur les possibilités de tromper un contrôleur d'intégrité.

Si je conçois que Viguard possède des qualités indéniables, je considère pas pour autant que Tegam n'ai jamais commis d'erreurs. Je pense qu'il serait bon qu'il en soit de même pour la communauté défendeur de Guillermito. Si ce dernier n'est pas un assassin, il n'est pas un "ange" non plus. Qualifier une personne connue pour être un fabriquant de crème glacée de terroriste international n'est pas une bonne communication. Pour autant, les termes ne sont pas totalement infondés et il fort probable que Guillermito était bel et bien connu des forces de police, voire était peut-être un peu surveillé comme ex-créateur de crème glacée.

Message édité pour ôter les passages diffamatoires. Etienne, Etienne, Etienne (tiens le bien) : pourquoi ne pouvez vous vous empêcher de troller une fois sur deux ?

Eolas

49. Le lundi 27 juin 2005 à 14:35 par Y en a marre

<<une personne connue pour être créateur de crème glacée>>

Chassez la diffamation elle revient au galop.

50. Le lundi 27 juin 2005 à 14:55 par djehuti

> Aussi me permets-je de formuler une hypothèse odacieuse : Tegam aurait-il mal rédigé sa plainte contre X et de ce fait enfermé le tribunal dans une logique étroite aboutissant à ce jugement étrange

quelle "odace" en effet :-)

pour la plainte, j'ai l'impression que Tegam a tout tenté... et qu'au final (comme il n'y avait rien de sérieux), seule la contrefaçon était recevable*

non, ce qui aurait été audacieux, c'est de parler du canular "GoodLuck"

mais bon, c'est sûr que quand on a compris qu'avec un antivirus à jour (forcément dépassé d'après Tegam) et un firewall (recommandé par Tegam), on est protégé (pas à 100%... ça n'existe pas)... on se demande à quoi peut bien servir Viguard et qu'est ce qu'il peut apporter en plus au niveau sécurité

alors, quand un "amateur" démontre (scientifiquement) en plus que ce truc est (faillible) "une daube"... ça donne envie de tuer (j'exagère un peu) ou de se pendre

voilà, c'est mon hypothèse (audacieuse ?) pour expliquer l'envie de détruire de Tegam

@tchao

* et c'est là, je trouve, que la justice aurait du dire stop... mébon

51. Le lundi 27 juin 2005 à 17:02 par Etienne

djehuti, si une attaque dédiée est lancée contre ton PC avec un virus construit sur mesure contre toi, ton anti-virus à signatures ne le connaitra pas, car personne hormis son auteur ne connait ce virus et sûrement pas les éditeurs d'anti-virus à signatures. Et tu te fais prendre comme un con alors que tu as sasn doute choisi le plus bel anti-virus à signatures du monde.

Maintenant, si tu as un contrôleur d'intégrité. Viguard n'est pas le plus mauvais. Mais si tu veux, tu peux en prendre un autre, il y en a d'autres. Là encore, on se demande pourquoi Guillermito a cogné sur Viguard et pas sur les autres contrôleurs d'intégrité. Etrange, mais j'ai déjà formulé une hypothèse à ce propos - veille histoire personnel avec l'auteur du soft ? Très plausible. Tu es informé qu'il y a une attaque sur ton pc et tu la bloques. Tu es sauvé par Viguard, ou son confrère. C'est un plus non ?

Et si tu veux un anti-virus à signature, tu peux te mettre un firewall appliance tout en un en entrée de ton réseau et ainsi tu sera doublement protégé.

Si tu mets le même antivirus en passerelle et sur le poste, tu n'as rien compris à la redondance.

Quant à Goodluck, je n'ai pas d'information pertinente sur le sujet. Je ne vois pas en quoi cela concerne la condamnation de Guillermito et le soit-disant "bien fondé" des actions de cet individu. Ou alors, tu confirmerais qu'il y a peut-être du réglement de comptes car Guillermito n'aurait pas aimé GoodLuck ... Libre à toi, moi, je n'ai pas d'info sur cette question.

52. Le lundi 27 juin 2005 à 18:15 par globo l'trobô

à Etienne: Les bras m'en tombent.

Est-ce que les PoC foutent en l'air les ordinateurs équipés de Viguard ou les infestent avec un code malicieux? Non. Est-ce que Guillaume les a jamais présentées autrement que comme un moyen, pour les possesseurs de Viguard, de vérifier que leur logiciel de "sécurité" se plante en 2 temps, 3 mouvements? Non. Est-ce Guillaume a pris l'initiative de ces 2 papiers: www.acbm.com/pirates/num_... et www.acbm.com/pirates/num_... Non et non. Est-ce que Guillaume a "forgé" le message où un employé de Tegam le remercie car il est "déontologique d'avertir l'éditeur d'éventuels problèmes" (voir ici: groups-beta.google.com/gr... Non. Est-ce que j'hallucine quand je lis: "le concepteur de Viguard, Eyal Dotan, estime que [les failles pointées par Guillaume] ne dévoilent aucun aspect important du programme"? Non.

Alors vivons-nous dans deux univers parralèles? Le jugement est décevant car, à part la contrefaçon des licences, il n'y a rien. Zippo, nada, peau de balle. Et ce n'est pas la peine d'invoquer "la défense de la société" (laquelle? le Peuple français? La SARL Tegam?) ou les RSSI qui n'ont rien à gagner à jouer les autruches, la tête dans le sable, le cul à l'air.

La discussion sur la LCEN était intéressante, bien que manifestement orientée, le reste ressemble à une tentative pour masquer l'absence d'arguments sérieux.

53. Le lundi 27 juin 2005 à 19:31 par Roland Garcia

<<djehuti, si une attaque dédiée est lancée contre ton PC avec un virus construit sur mesure contre toi, ton anti-virus à signatures ne le connaitra pas>>

A priori ? évidemment, et les autres non plus.

<<Maintenant, si tu as un contrôleur d'intégrité.>>

Lui par définition ne reconnaît rien à priori, d'où l'invention (plus récente) de la signature permettant de désinfecter le fichier.

54. Le lundi 27 juin 2005 à 20:35 par djehuti

> djehuti, si une attaque dédiée est lancée contre ton PC avec un virus construit sur mesure contre toi, ton anti-virus à signatures ne le connaitra pas, car personne hormis son auteur ne connait ce virus et sûrement pas les éditeurs d'anti-virus à signatures. Et tu te fais prendre comme un con alors que tu as sasn doute choisi le plus bel anti-virus à signatures du monde

illustration parfaite du hoax "GoodLuck" :-)
(qui ne visait apparemment qu'à vendre du Viguard à des "clients" visiblement peu regardant sur le prix [vu que c'est pas leur argent] et plutôt naïfs [sans la moindre connaissance technique sur le sujet]... mais ça a foiré en cours de route)

ps: pas besoin de faire du "sur mesure", une simple bestiole exploitant une faille de l'OS peut parfaitement rentrer comme dans du beurre (même avec Viguard en protection)

décidément, on fait du sur place et ça ne fait progresser en rien la sécurité informatique en générale (qui est pourtant l'affaire de tous)

@tchao

55. Le lundi 27 juin 2005 à 21:53 par Nicob

> ps: pas besoin de faire du "sur mesure", une simple bestiole
> exploitant une faille de l'OS peut parfaitement rentrer comme dans
> du beurre (même avec Viguard en protection)

Et le test réalisé par eWeek l'a parfaitement démontré :
www.eweek.com/article2/0,...

Ce qui est marrant, c'est que Tegam affirme toujours le contraire, par exemple dans ce communiqué de presse datant de Décembre 2004 :
www.viguard.com/fr/news_v...
(désolé pour le lien à rallonge)

"Cette sécurité évite ainsi aux machines protégées par le Pack Sécurité ViGUARD de se retrouver démunies face aux vulnérabilités de Windows, entre le moment où ces vulnérabilités sont annoncées et le moment où le correctif de sécurité de Microsoft est disponible et installé."

M'enfin ...


Nicob

56. Le lundi 27 juin 2005 à 22:48 par Etienne

Pour me faire croire que Guillermito est un gentil petit garçon qui n'a jamais fait de betisses, il faudrait d'autres arguments. Le chercheur avait quelques raisons de chercher des poux dans la tête de Tegam depuis longtemps. Il faut être lucide et d'ailleurs, le tribunal a en partie reconnu ce fait comme grave puisqu'il accorde répaaration.

Pour le reste, on le trouve où le rapport GoodLuck que je n'ai jamais lu et dont tout le monde parle ?

Qui l'a lu d'ailleurs ? Moi, je n'ai pas l'habitude de commenter sans connaître. Viguard j'ai regardé avant de me faire une opinion et j'ai discuté avec de nombreux utilisateurs satisfaits (il y en a si on fait un travail honnête).

Merci. Je crains que là encore tout le monde parle de GoodLuck en commentant les commentaires, mais sans s'être fait une opinion propre. Comme pour tout le dossier Guillermito. Combien de supporters de Guillermito ont eu une vraie licence Viguard entre les mains ?

57. Le lundi 27 juin 2005 à 23:14 par djehuti

> Combien de supporters de Guillermito ont eu une vraie licence Viguard entre les mains ?

tu veux dire que le but de Tegam, avec ce procès débile, c'était de vendre une license de Viguard à tous ceux qui auraient voulu vérifier l'exactitude des travaux (scientifiques) de Guillermito ?

tiens, j'avais pas envisagé l'affaire sous cet angle :-D

@tchao

ps: tu vas encore faire sonner le bouzin avec tes insinuations calomnio-dénigrantes contre Guillermito

58. Le lundi 27 juin 2005 à 23:30 par Etienne

djehuti, merci de ton aveu. Tu as une opinion très tranchée sur un produit que tu n'as jamais au en mains. En fait, tu commentes des commentaires. Pas très scientifique, mais on voit aujourd'hui des gens qui présentent des tests qui ne sont que des recherche documentaires, drôle d'époque ... Je dois avoir d'autres valeurs que les tiennes. Je parle lorsque j'ai vérifié moi-même, sinon non.

ou tu aboies avec la meute, comme tu veux...

Si tu ne sais pas, tu as aussi le droit de te taire, c'est c'est que je fais sur le rapport GoodLuck tant que je ne l'ai pas lu. Si tu es honnête, tu peux dire que tu n'as jamais essayé le logiciel Viguard et que tu ne fais que répéter ce que tu as lu sur le Web, comme beaucoup de tes copains. Si tu ne sais pas parceque tu ne veux pas payer une licence, c'est ton droit le plus strict, mais alors ne joue pas à celui qui sait. Cela ne colle pas.

Et tout deviendrait si simple ...

59. Le lundi 27 juin 2005 à 23:53 par djehuti

> djehuti, merci de ton aveu

quel aveu ?
(encore cette manie de chercher à discréditer son adversaire de joute verbale quand on a pas d'argumentation sérieuse à lui opposer... vous devenez fatigants :-( )


> Je parle lorsque j'ai vérifié moi-même, sinon non

mais j'ai vérifié... sur le site de Tegam, et Sasser est bien passé au travers de Viguard (y avait même de zolies captures d'écran)


> Si tu ne sais pas, tu as aussi le droit de te taire, c'est c'est que je fais sur le rapport GoodLuck tant que je ne l'ai pas lu

GoodLuck n'est pas un rapport mais une bestiole... imaginaire (amha, créée pour faire peur et vendre du Viguard) et son "auteur (de virus)" a depuis largement communiqué sur le sujet

quant au "rapport", pratiquement personne ne l'a lu... puisqu'il était confidentiel (et je pense savoir pouquoi :-) ) et c'est d'ailleurs ce point qui a été vivement critiqué


> Si tu ne sais pas parceque tu ne veux pas payer une licence, c'est ton droit le plus strict, mais alors ne joue pas à celui qui sait. Cela ne colle pas

dois je comprendre qu'il ne faut pas croire le rapport de l'expert ?

tu me fais marrer avec ton baratin 8-)

60. Le lundi 27 juin 2005 à 23:58 par Tweakie

>Tweakie , ta question :
>>> ou de neutraliser le logiciel VIGUARD.

>>Arf. Et c'est interdit par la loi, ca, maintenant ?

> est en partie tranchée par la LCEN avec son article 46.

Tu as toi meme evoque' un article d'Eric Filiol publie' sur le site de Mag Securs. Il se trouve que le meme Eric Filiol, qui n'a pourtant rien d'un cyber-rebelle, ne machait pas ses mots en qualifiant cet article 46 de "danger pour les intérêts et la souveraineté de l'État" ( www.zdnet.fr/actualites/t... ).

> La réponse est quasiment oui, c'est interdit par la loi. Tu ne peux pas fournir au public des moyens d'attaquer un logiciel, sans motif légitime.

Comme l'a evoque' "globo l'trobô", c'est la question du motif legitime qui est en cause. Je trouve cela legitime que Guillermito ait fait le necessaire pour prouver ses dires, face a la mauvaise foi de l'editeur (voir par exemple le cas des "virus impuissants" : www.madchat.org/vxdevl/vx... ). Par ailleurs, sans la publication de ces POC, Tegam aurait pu etre tente' d'attaquer Guillermito pour diffamation.

> Dans l'affaire Guillermito, ce qui est choquant est que cet individu a publié dans le Virus ou Pirate Mag et des forums "underground".

Guillermito a publie' sur son site web et sur fr.comp.securite.virus. Lequel de ces deux sites est-il un "forum underground", pour toi ? Le Virus et Pirates Mag sont des publications gerees par Olivier Aichelbaum. Vous melangez tout. Il y a meme une (ex ? future ?)employee de Tegam qui a publie' dedans ( www.esc-toulouse.net/ms/i... , chercher "Tegam"), alors...

> A quoi ses bidouillages étaient-ils destinés ? [...] A régler des comptes personnels avec Eyal Dotan suite à l'émission de TF1 avec Stéphane Collarot quelques années avant le POC ? Là, seul
> lui-même pourrait répondre ...

> La faille mise à jour par Guillermito a été corrigée ... par Microsoft avec Windows NT, Windows 2000 et Windows XP, et non par Tegam.

Tu dois te tromper. Il me semble que c'est en 2000 qu'Eyal Dotan, interviewe' par TF1, repondait a la question "Peut-il [Viguard] encore bénéficier d'améliorations ?" "

E.D: Il reste toujours possible d'augmenter les fonctionnalités ou de modifier l'interface du logiciel. Du point de vue de la protection, c'est inutile.

( groups-beta.google.com/gr... )

> La faille mise à jour par Guillermito a été corrigée ... par Microsoft avec Windows NT, Windows 2000 et Windows XP, et non par Tegam.

Il se trouve que Guillermito n'a pas releve' qu'une faille, mais qu'il a mis en evidence un nombre important de defauts de conception au sein de Viguard. Tegam en aurait parait-il corrige' quelques uns depuis. Avant de t'exprimer a ce sujet, je te conseille donc de lire sereinement l'integralite' de la page de Guillermito (les POC en moins) :

web.archive.org/web/20030...

> [...] En d'autres termes, Tegam, plus fin ou mieux conseillé dès le début, aurait-il pu parvenir à un jugement plus tranché mettant en avant la faute (à mon avis) qui consiste à fournir au
> public, sans limitation, un moyen de désactiver Viguard (c'est-à-dire quasiment le coeur d'un code source pour lancer un virus anti-Viguard - il ne manquait que la partie reproductive pour
> que le virus soit complet).

Tu vas rire mais la seule et unique caracteristique qui permette de determiner si un programme est un virus ou pas est...sa capacite' a se reproduire ! Et pour un cheval de troie, c'est le fait qu'il soit execute' a l'insu de l'utilisateur. Les POC de Guillermito ne correspondent a aucune de ces definitions.

> Quant à Goodluck, je n'ai pas d'information pertinente sur le sujet.

Goodluck, c'est un cheval de Troie co-concu (et diffuse' depuis via le site web d'une conference - judicieusement nommee "blackhat" au cours de laquelle il a ete presente') par Eyal Dotan. Plus de renseignements ici (attention, c'est un forum dangereusement underground, peuple' de cyber-rebelles qui font rien qu'a vouloir du mal a la societe' en general et aux societes en particulier ;-) ): www.newffr.com/viewtopic....

> djehuti, si une attaque dédiée est lancée contre ton PC avec un virus construit sur mesure contre toi, ton anti-virus à signatures ne le connaitra pas, car personne hormis son auteur ne
> connait ce virus et sûrement pas les éditeurs d'anti-virus à signatures.

Ben ca depend. Le Goodluck/Casper, la, il s'est fait detecter sans problemes par mon antivirus, et ce avant que la moindre signature ait ete ajoutee. Pourtant, il etait sense' etre "evolutif et furtif".

Une derniere chose. Ca ne te dirait pas de garder un pseudo ou un prenom constant. Michel, Sylvie, Indiana, toto, toc toc, Eric, toto, Parano et maintenant Etienne. Certains ne sont peut-etre pas de toi mais a la longue, ca n'est meme plus marrant. Alors comme maintenant c'est clair, ca ne marche pas (et tant pis pour les theories des grands gourous es-guerre-de-l'information) je pense qu'on gagnerait en clarte' a savoir avec qui on discute, et qu'on eviterait de se repeter inutilement. Tu n'es pas oblige' d'utiliser ton vrai prenom, mais il serait appreciable que tu choisisses un pseudo une fois pour toutes.

61. Le mardi 28 juin 2005 à 00:22 par E.

Tweakie :

>Une derniere chose. Ca ne te dirait pas de garder un pseudo ou un prenom constant.


Il ne peut pas.
Il fonctionne à la detection générique.

62. Le mardi 28 juin 2005 à 01:26 par E.

Cher ami Etienne

J'ai bien vu que vous vous inquétiez de la visibilité des travaux de Guillermito sur Viguard.
Rassurez vous, désormais toute la communauté scientifique peut apprecier la démarche de Guillermito et aussi celle des Dotan :
dx.doi.org/10.1016/S1353-...


ps. ça change de "Mag-Secours", que voulez-vous

63. Le mardi 28 juin 2005 à 06:44 par Guillermito

[Un petit message en passant pour nourrir le troll, et puis je retourne dans mon trou]

Etienne, puisque vous semblez cette fois vous être décidé pour ce pseudonyme, c'est gentil de m'apprendre de multiples choses sur ma vie, mes motivations profondes, mon histoire. C'est poétique, mais j'ai l'habitude maintenant. Je vous engage comme biographe fantasmatique officiel.

Il est bien connu que les gens qui publient des failles de sécurité ont des problèmes personnels avec les programmeurs de ces logiciels. Il se murmure que Georgi Guninski a publié des dizaines de failles de produits Microsoft parce que Bill Gates lui a piqué des bonbons à la récré. Moi-même, je me suis battu dans un bar en 1985 avec une bande d'auteurs de logiciels de stéganographie en goguette, c'est pour cela que j'ai montré la faiblesse de leurs logiciels quinze ans plus tard. Pour me venger, vous voyez. Cela dit, ça me change des accusations d'être un terroriste ou un agent payé par d'autres éditeurs. Votre imagination me fascine, quelque part. Ou votre hypocrisie.

Dans un article publié il y a quelques années, on montrait avec mon directeur de thèse qu'un résultat publié quelque temps plus tôt par un labo japonais n'était pas reproductible. Mais, vous l'avez deviné, ça n'était pas au nom de la science, c'était bien entendu une sombre vengeance, parce qu'ils m'avaient volé mes sushis lors du diner d'un quelconque congrès scientifique, sans doute. Que je suis fourbe, hein. Il n'y a que la vengeance qui m'anime, vous m'avez percé à jour, damned, je suis fait.

Bref. Si vous ne comprenez pas le plaisir de la recherche et de la curiosité, sous toutes leurs formes, découvrir comment les choses fonctionnent et leurs limites, si vous n'avez jamais ouvert une radio quand vous étiez enfant, alors n'essayez même pas de comprendre ma démarche, ni celle des centaines de gens qui publient des failles de manière bien plus professionnelle et structurée que moi, avec ou sans démonstration, sur BugTraq et autres sites de sécurité informatique (y compris ceux du gouvernement français, comme vous pouvez le voir à www.certa.ssi.gouv.fr/).

Allez, un peu de technique pour finir. Vous dites à djehuti "si une attaque dédiée est lancée contre ton PC avec un virus construit sur mesure contre toi, ton anti-virus à signatures ne le connaitra pas". Cela montre vos connaissances limitées en ce qui concerne les antivirus. Vu votre défense passionnée de Tegam, on ne s'étonnera pas que c'est exactement leur discours : faire croire que les anti-virus ne sont que de stupides moteurs de recherches de simples signatures, qui ne peuvent détecter que des virus connus. C'est complètement faux, et tout le monde le sait, sauf vous. Les antivirus modernes ont de nombreuses routines pour détecter des virus inconnus. Je vous conseille de lire le récent ouvrage de Peter Szor, le livre le plus complet et le plus technique à propos de virus/antivirus, une vraie bible : "Virus Research and Defense". Les simples scans de signatures sont décrits sur huit pages (428-436). Les autres routines bien plus complexes pour détecter des virus inconnus (émulation, X-Ray, désassemblage automatique, analyse heuristique, anti-injection, etc, etc) sont décrites sur 172 pages (437-609). Les signatures ne sont qu'une partie des outils offerts par les antivirus, en ce qui concerne la détection. Par contre, elles ont un intérêt crucial pour la désinfection, puisqu'elles permettent une identification exacte d'un virus, ce qui rend possible la désinfection à l'octet près. Ce qui ne veut pas dire que les antivirus, même modernes, sont des outils parfaits. Je ne le pense pas, et d'ailleurs, je n'en utilise pas.

En résumé :

- vous ne savez rien de moi mais ça ne vous empêche pas de me coller des motivations personnelles absurdes.

- vous ne connaissez pas grand-chose aux techniques antivirales mais vous en parlez quand même d'un air posé.

- vous mentionnez ma page web d'analyse de Viguard mais il est clair que vous ne l'avez jamais lue (voir le message de Tweakie plus haut).

- d'après les avocats ici présents, vous n'entendez pas non plus grand-chose en matière juridique (moi non plus, c'est pour cela que je n'en parle pas).

- vous diffamez, d'après Eolas, à longueur de messages, ici-même (voir les messages qu'il a dû modifier).

- vous changez mille fois de pseudonyme pour faire croire que vous êtes nombreux.

Et c'est *mon* éthique que vous critiquez ?

64. Le mardi 28 juin 2005 à 13:16 par Etienne

Cher Guillermito,

est-ce que cela vous surprendra, je ne sais, mais j'arrive pas à vous croire.

Un chercheur a des motivations de recherche universelle. Les travaux que vous aviez réalisés auraient du être généralisés à un ensemble de logiciels, notamment les contrôleurs d'intégrité. Pas ce seul et malheureux Viguard. Vous vous êtes laissé emporter sur ce produit en oubliant les autres, ce n'est pas très scientifique.

Je maintiens donc mon hypothèse d'affaire personnelle dans vos travaux.

Quand à savoir si les anti-virus à signatures n'ont que des techniques de signatures, ce n'est pas la question. Viguard n'a pas de signatures, d'où le terme que j'ai employé. Vous pourriez admettre qu'il existe des virus que Viguard arrête et que les autres n'arrêtent pas. Ce serait aussi une démarche plus scientifique.

Et ainsi en couplant deux techniques très différentes, on obtient une très bonne sécurité, comme je l'écrivais hier. Viguard a donc toute sa place dans la sécurité.

Mais je crains que vous ne soyez que câblé anti-Viguard, sans doute pour des raisons qui vous sont propres. Seulement, vous n'êtes pas crédible.

Ni pour moi, ni pour la justice.

Vous feriez mieux d'arrêter, de reconnaître que vous êtes allé un peu trop loin. La cour d'appel, qui sait, pourrait en tenir compte ? Et laissez vivre les éditeurs qui travaillent de leur mieux, tous autant qu'ils sont.

65. Le mardi 28 juin 2005 à 14:31 par Galilée

J'abjure, mais pourtant elle tourne.

66. Le mardi 28 juin 2005 à 15:23 par Guignolito

Mort de rire : "Un chercheur a des motivations de recherche universelle. Les travaux que vous aviez réalisés auraient du être généralisés à un ensemble de logiciels..." !

Vous vous trompez du tout au tout sur les chercheurs. Il n'y en a pas 2 pareils. Il y en a peut-être qui correspondent à votre cliché, mais tous les autres ?

Un chercheur cherche ce qu'il peut, comme il peut, et trouve quand la chance lui sourit. Il doit se battre pour avoir des budgets. Il doit se battre pour se faire publier en 1er, avant que le collègue à l'autre bout du monde, qui bosse depuis des années sur le même sujet, le fasse. Un chercheur doit s'occuper de sa renommée, présenter des résultats, avoir une bonne note. Un chercheur a plein de trucs à faire qui n'ont rien à voir avec la recherche.
Et s'il peut généraliser, oui, c'est cadeau-bonus.

D'ailleurs, si M. Etienne avait bien lu ce que d'autres que moi ont écrit, la méthode employée se généralisait à d'autres produits.

Et puis la vie est trop courte pour aller démonter chaque produit bidon qu'il y a sur le marché. On a autre chose à faire. Guillermito aurait pu le faire, mais il avait peut-être d'autres soucis. Ptêt qu'une jolie fille passait, alors la Grande Théorie Générale Avec POC Universel Contre Les Programmes Merdiques , ça sera pour plus tard. Si l'envie vous y reprend. Si la chose en vaut le coup. Avec des "si"...

Voilà pour la théorie du "chercheur idéal" !

Que ViGuard ait été choisi n'est pas un hasard, selon moi. Ils se sont cherchés eux-mêmes les poux :
- À cause de leur publicité calamiteuse, envers toute vérité mathématiquement prouvée, qui est une véritable incitation à démontrer *pratiquement* le contraire.
- À cause de leur arrogance et de leur refus de reconnaître leurs erreurs.
- À cause de leur traitement catastrophique de l'affaire sur le plan médiatique.
- À cause du comportement de leurs "spécialistes en guerre de l'information" sur le Net.


Le comportement et les motivations de Guillermito ne sont pas en cause. Tout celà est parfaitement légitime. Il n'a pas commis d'erreurs, et les juges ne l'ont pas sanctionné pour ces raisons.

Ils l'ont sanctionné car il avait des logiciels sans licence valide sur son PC, et qu'il a distribué 80 octets de ces logiciels sans avoir de licence valide. C'EST TOUT.
C'est un délit passible de 3 ans de prison et 300.000 Euros d'amende.

67. Le mardi 28 juin 2005 à 15:26 par Joël

Commentaire hors sujet, destiné à Maître Eolas :

Comment, vous, qui écrivez un français d'une certaine élégance, vous laissez vous aller au barbarisme "influer sur ..." dans votre réponse au commentaire n°18 ?

Cela dit, je reste un admirateur passionné de votre "journal d'un avocat" et j'en recommande fréquemment la lecture dans mon entourage.

68. Le mardi 28 juin 2005 à 15:37 par Veuve Tarquine

Et quelle est donc l'élégance d'un commentaire pareil ?

69. Le mardi 28 juin 2005 à 22:59 par Etienne

Dans toute cette affaire, j'ai rencontré un copain qui a une histoire marrante sur le sujet de la réponsabilité de la mise à disposition d'outils. je vous la livre pour information. Cette histoire provient d'un avocat connu à Paris, Maitre Olivier Itéanu dans les salons de l'automobile club place de la Concorde lors d'un débat organisé par le groupe IDG à l'ocassion de la sortie du magazine CSO (une autre revue professionnelle pleine de RSSI et d'interviews de gens qui pensent bien, eux).

Maître Itéanu y racontait les déboirs de la société Lucent Technologies qui avait mis à disposition de l'un de ses employés les moyens de jeter l'opprobe sur une société d'autoroutes (qui ne lui plaisait pas). L'histoire a aussi été rapporté par le CLUSIF. La société Lucent a été condamnée en première instance sur la base de "l'arrêt Soufflette". Je laisse le soin à Maître Eolas de reprendre la main sur le résumé de cet arrêt que commente Maitre Itéanu. En gros, Lucent est condamné pour avoir fournit "les moyens et l'occasion de la faute". C'est-à-dire les outils pour que l'un de ses salariés se comporte en voyou.

Guillermito ne fait pas grand chose d'autre en mettant en ligne du code pour planter Viguard. Et l'arrêt Soufflette, transposé à Guillermito, permettrait de condamner la publication excessive de documents utilisables à des fins dangereuses.

Tegam n'a pas exploité cette approche pour faire condamner Guillermito. Celui-ci était pourtant au combien plus responsable de ses actes que la société Lucent.

Maître Itéanu expliquait toutefois, me dit-on, dans le grand salon de l'automobile club que cet arrêt était critiqué. Le serait-il autant dans l'esprit pour une condamnation de la mise à disposition de hackers de codes d'attaques ? Que ce soit Guillermito ou un autre, il ne s'agit pas d'en faire une hsitoire personnelle et de revenir sur une chose jugée. Le débat sur le droit à publier n'importe quoi quelqu'en soient les conséquences ne semblent pas si simple que certains, grands noms de la blogosphère, ne se plaisent à l'affirmer (ou plus modestement à le défendre).

70. Le mardi 28 juin 2005 à 23:34 par djehuti

pfff... t'es vraiment un gros lourd !

> Guillermito ne fait pas grand chose d'autre [bla bla bla]

ben si :-)
c'est ce que tout le monde tente de t'expliquer mais, qu'en bon bourricot, tu refuses de comprendre

encore de la diffamation

71. Le mardi 28 juin 2005 à 23:39 par Soufflotine

<<Et l'arrêt Soufflette, transposé à Guillermito, permettrait de condamner la publication excessive de documents>>

Une condamnation de l'Université de Harvard pour publication excessive ? fichtre :)

72. Le mardi 28 juin 2005 à 23:48 par Veuve Tarquine

Etienne, avant de vous lancer dans le droit de la responsabilité, matière touffue s'il en est, je vous invite à faire l'acquisition de quelques notions de base...

Vous me voyez désolée d'avoir à le dire mais vous êtes en train de vous ridiculiser...

73. Le mercredi 29 juin 2005 à 00:23 par Tweakie

Cher Francois (<- ceci est une tentative d'anticipation),

Histoire que tout un chacun puisse se faire une idee sur l'"arret Soufflette" (et rire un bon coup) :

Les transparents de la presentation donnee par Maitre Iteanu, judicieusement intitulee : "Responsabilite de l'entreprise, de l'employeur, et fraude interne"
www.hsc.fr/conferences/cs...

Le fameux arret Soufflette (l'element auquel se rapporte Maitre Iteanu se situe page 9) :
www.juriscom.net/document...

L'article 1384 du code civil, et plus particulierement son alinea 5, auquel se refere le tribunal pour motiver sa decision :
www.legifrance.gouv.fr/WA...

"On est responsable non seulement du dommage que l'on cause par son propre fait, mais encore de celui qui est causé par le fait des personnes dont on doit répondre, ou des choses que l'on a sous sa garde.
[...]
Les maîtres et les commettants, du dommage causé par leurs domestiques et préposés dans les fonctions auxquelles ils les ont employés ;"

Ahem...

74. Le mercredi 29 juin 2005 à 09:51 par Raboliot

Encore un qui va se prendre un vent (solaire) de la part du juge :
fr.news.yahoo.com/050629/...

75. Le mercredi 29 juin 2005 à 10:11 par Guignolito

@Etienne :
Laissez-nous devinez, d'après vos écrits :
* vous n'y connaissez rien en informatique.
* vous n'y connaissez rien en droit.
* vous croyez cependant avoir la science infuse et voulez imposer votre vision des choses.

J'en déduis que vous êtes, au choix :
* journaliste
* énarque
* ministre de l'intérieur

76. Le mercredi 29 juin 2005 à 11:13 par globo l'trobô

Etienne, il est bel et bon de croire ce que te rapporte tes amis, la fidélité en amitié est une chose que nous chérissons tous mais, quand on discute de choses sérieuses avec des gens sérieux, les textes et les faits sont tes seuls amis.

Il est aussi bel et bon d'avoir des convictions mais, quand on discute de choses sérieuses avec des gens sérieux, rejeter sans les combattre les faits qu'on t'oppose, en changeant constamment d'argumentation par exemple, peut faire douter de ta bonne foi ou, plus fondamentalement, de ton ancrage dans la réalité.

Je suis heureux que pour toi il y ait les "gens qui pensent bien" et les autres. La question n'est cependant pas de bien penser ou non mais de penser juste, ce que tu ne sembles pas être capable de faire.

Amitiés.

Globo

Ps: pour une définition du juste, "Adj. (et subst.). (Qui est) conforme à une norme (abstraite ou concrète)". Si tu n'es pas d'accord avec cette définition, tu peux en discuter avec le Cnrs. C'est ici: atilf.atilf.fr/tlf.htm Ouh, le méchant argument d'autorité! Attends, je vérifie ce qu'a dit Me Iteanu à ce sujet (qui se trouve être l'avocat de Guillaume. L'as-tu cité par hasard?).

77. Le mercredi 29 juin 2005 à 12:32 par Etienne

Bon, on n'arrive pas à relever le débat. Tant pis. Mais on va essayer quant même.

Sur le caractère du chercheur, il est vrai qu'il en existe de toute sorte. Mais tous ne sont pas recommandables, ni acceptables. Vieille histoire pour laquelle on écrivait déjà il y a quelques siècles que "science sans concience n'est que ruine de l'âme". Le fait de chercher n'autorise pas tout. La finalité qui semble être de démolir un produit, ou une société ne paraît pas aussi louable que de chercher à établir les atouts et les faiblesses de différentes technologies de lutte anti-virale (qui concernent de très nombreux produits et non un seul - Viguard n'est en effet, ne vous en déplaisse pas unique en son genre). Conclure que Viguard est une "daube" n'est pas un terme très scientifique. Ne lui reconnaître aucune utilité (la capacité d'arrêter un nouveau virus que les autres ne connaissent pas) n'est pas très honnête, ou relève de l'aveuglement quant à la conclusion recherchée.

Maintenant, sur l'histoire de l'arrêt soufflette et de la condamnation de Lucent Technologies en première instance, évidemment que les utilisateurs du code mis à disposition par un Guillermito ne sont pas les salariés de celui-ci, ses domestiques ou préposés. Pour autant, est-il interdit d'établir un parallèle dans la mise à disposition "des moyens et de l'ocassion de la faute" ? Sur ce point, les ricanements (ou glousements de veuve tarquine) ne sont pas des réponses très acceptables, et ne relève sûrement pas d'esprit scientifique. Toujours la prise de position a priori : Guillermito est un gentil petit garçon attaqué par un vieux méchant pervers, etc... ou toute autre position de ce genre.

Pour ouvrir encore un peu le débat sur la responsabilité des actes de Guillermito, je souhaiterais dire que dans des métiers très voisins de l'informatique, il est d'usage de ne pas divulguer les failles de sécurité et tout le monde considère cela comme normal. Il s'agit des systèmes de télécommunications et tout particulièrement des techniques de réseau intelligent (SS7, couches sémaphore, PCS/SCP, etc). Ces systèmes sont très complexes et comme tout logiciel trufés de bugs et failles de sécurité. Pour autant, les professionnels ne déballent pas les trouvailles de failles sur la place publique. Fort heureusement, car autrement les systèmes téléphonique et l'Internet se seraient déjà arrêtés plusieurs fois sur la planète. Il y a un code de bonne conduite qui consiste à ne pas divulguer les informations dangereuses que tout le monde applique sans exception. Et oui !

Pourquoi le monde du PC et des OS Windows, Unix, Linux a-t-il un autre comportement plus irresponsable ? Ma réponse est de dire que jusqu'à présent planter un PC n'a pas été trop grave (alors que planter un réseau international de télécom poserait beaucoup plus de problèmes). Du coup, on a eu tendance à passer l'éponge et à trouver les bidouilleurs presque sympathiques (si on en croit ce que l'on lit ici en tout cas). Si les dégats deviennent plus importants, l'opinion publique et le juges changeront de position. Et les textes permettent des interprétations très sévères.

Lorsque Maître Eolas refute qu'une condamnation d'un acte à la Guillermito pourrait se faire sur la base de l'article 46 de la LCEN, il plaide en relevant que la finalité de la mise à disposition du code n'était pas de commettre un délit. Si les dégats sont mineurs, le tribunal sera sans doute clément et le suivra peut-être (pas à coup sûr et il écrit lui-même ne pas être une autorité absolue - sa position est honnête). Si ce n'est pas le cas, c'est-à-dire si les dégats sont importants, il est intéressant de regader l'arrêt soufflette. La mise à disposition du soufflet, ou des outils informatiques pour Lucent, n'avait pas pour objet de commettre un délit. Pourtant, la cour de cassation confirme la condamnation par cet arrêt dit "soufflette". Une mise à disposition inconsidéré de codes provoquant un "digital storm" ne serait sans doute pas moins considéré comme coupable. Le parrallèle est-il si choquant pour Veuve Traquine ?

Au départ, un comportement à la Guillermito suffit.

Il faut donc poser les limites dès à présent. Voilà pourquoi il est d'ores et déjà utile que Guillermito soit condamné et paie des dommages et intérêts. Et voilà pourquoi il est également utile qu'il soit clair que la mise à disposition de codes d'attaques puisse être très sévèrement condamnée.

La recherche doit pouvoir continuer dans un esprit d'universalité et de de finalité du bien-être de la société.

Maintenant, si vos commentaires sont je suis un sale con, cela vous regarde, mais ne démontre rien que l'absence de tout esprit scientifique de votre part. Les glousements ne sont pas des arguments. N'est-ce pas Veuve Tarquine ?

PS. : j'ai quelques diplômes, mais pas celui de l'ENA, je ne suis pas journaliste et pour ce qui est d'être Ministre votre honneur est excessif. Il est parfois bon d'écouter aussi l'homme de la rue ou le professionnel lambda (sans imaginer des complots, histoire d'espionnage, double vie et autres romans).

78. Le mercredi 29 juin 2005 à 13:06 par Veuve Tarquine

« Pour autant, est-il interdit d'établir un parallèle dans la mise à disposition "des moyens et de l'ocassion de la faute" ? Sur ce point, les ricanements (ou glousements de veuve tarquine) ne sont pas des réponses très acceptables, et ne relève sûrement pas d'esprit scientifique. »

Voyez-vous, et ne vous en déplaise je n'ai jamais prétendu avoir l'esprit scientifique. Il se trouve en revanche que j'accorde bien plus de crédit à la rigueur d'un raisonnement juridique puisque c'est cet aspect là que vous abordez.

Venir élaborer des théories en confondant allégrement responsabilité pénale et responsabilité civile, responsabilité du fait des commettants et responsabilité pour faute est, pour la spécialiste que je suis (j'ai moi aussi, outre mon titre d'avocat, quelque diplomes et quelques certificats de spécialisation en sus) assez rafraîchissant.

Voyez-vous, j'ai, à la différence de vous, la parfaite conscience de la limite de mes connaissances.

Je ne vais pas aller démontrer à un informaticien qu'il se trompe dans tel ou tel analyse informatique. Je n'en ai pas les connaissances en dépit de bidouillage somme toute sympathique mais toujours négligeable pour les professionnels.

En droit, c'est pareil... Et vous êtes actuellement dans la situation de celui qui face à des professionnels (je ne suis pas la seule ici, loin de là) multiplie les gesticulations sans avoir la moindre idée des énormités qu'il vitupère.

Sachez enfin que votre démarche qui est de tordre les faits et le droit (dont vous ignorez pourtant tout) afin d'aboutir au seul résultat de vos vœux est pour moi la preuve que vous êtes définitivement perdu pour la compréhension de tout raisonnement juridique quelqu'il soit...

A-t-on déjà vu un médecin faire un cours d'anatomie à celui qui soutient que la rate est le siège de la pensée ?

79. Le mercredi 29 juin 2005 à 13:11 par globo l'trobô

A la question: "Maintenant, sur l'histoire de l'arrêt soufflette et de la condamnation de Lucent Technologies en première instance, évidemment que les utilisateurs du code mis à disposition par un Guillermito ne sont pas les salariés de celui-ci, ses domestiques ou préposés. Pour autant, est-il interdit d'établir un parallèle dans la mise à disposition "des moyens et de l'ocassion de la faute" ?" la réponse est oui.

Prenez n'importe quel bouquin d'introduction au droit et vous découvrivrez que le raisonnement par analogie et peu goûté des juristes, et est même considéré comme la plus grande des hérésie en droit pénal.

Je ne dis pas que vous êtes un con ou que vous soyez employé par Tegam mais venir nous dire que nous manquons d'esprit scientifique quand nous vous proposons des FAITS et des TEXTES de loi me laisse dubitatif.

J'avoue bien volontiers être porté à vous taquiner parce que vous revenez toujours à la charge avec, par exemple, la combinaison d'une interprétation fumeuse de l'article 323-3-1 du Code Pénal et d'une interprétation encore plus fumeuse de l'arrêt Soufflette. Ca ne tient pas debout et ça ne peut pas tenir, ne serait-ce qu'à cause de l'analogie à la base de votre raisonnement. Une analogie ne vaut RIEN devant un tribunal (je passe sur l'exotisme de votre interprétation des 2 textes).

Le droit est un mécano mais comme un pont: une construction qui ne respecte pas certaines règles se prend les lois de la physique dans la gueule. Apprenez les règles si vous voulez jouer ou posez des questions mais ne proposez pas un montage qui ne ressemble à rien.

80. Le mercredi 29 juin 2005 à 14:27 par Guignolito

@Tarquine et @globo : vos réponses sont tout simplement exquises !

Quant aux délires du monsieur sur la sécurité dans les télécoms et les causes du comportement "irresponsable" des informaticiens, ils sont du même niveau que ses interprétations du droit. Celà fait belle lurette que les professionnels considèrent que la "sécurité par l'obscurité" est une très mauvaise chose. Dans tous les domaines.

Bruce Schneier, spécialiste mondialement reconnu en sécurité, vous sort quasiment tous les mois des exemples de mauvaise sécurité parce que les concepteurs du dispositif en question ont cru qu'il suffirait que les méchants soient ignorants des techniques employées. Lien : www.schneier.com/crypto-g...
Et une petite recherche sur l'expression "full disclosure" vous informera plus sur le thème.

81. Le mercredi 29 juin 2005 à 16:36 par Etienne

Permettez moi de ne pas adhérer à la "secte du full disclosure". Je vous confère pour votre part le droit de vous encarter dans un tel mouvement libertaire, mais dont les limites sont certaines, si tel est votre plaisir.

Petite question, le manuel en libre service des failles SS7, il est où ? Savez-vous pourquoi ? Le "full disclosure" serait-il limité ?

Quand aux conclusions sur ce que pourraient être les condamnations issues de l'article 46 de la LCEN, je pense ne pas être le seul à penser qu'il y a matière à santionner des publications inconséquentes. Je vous propose que nous prenions date pour en rediscuter à la prochaine condamnation (ou relaxe selon) sur une telle affaire. Et nous verrons qui est suivi par les tribunaux.

82. Le mercredi 29 juin 2005 à 16:42 par Lioneelilo

Ouais. Néanmoins, je suis sûr qu'en relisant l'ensemble des commentaires, Tarquine comprendra en quoi, dans le contexte, ses interventions étaient maladroites.

83. Le mercredi 29 juin 2005 à 17:52 par Etienne

A propos Veuve Traquine, votre site de toute beauté sur Viguard :

"Viguard est une dauble 1"
"Viguard est une daube 2"
"Viguard est une daube 3"

et vous écrivez "Je ne vais pas aller démontrer à un informaticien qu'il se trompe dans tel ou tel analyse informatique. Je n'en ai pas les connaissances en dépit de bidouillage somme toute sympathique mais toujours négligeable pour les professionnels."

Eh bien, un tel jugement sur un produit que vous ne sauriez analyser est quelque chose toute même.

Quand à mes compétences, vous me déclarez nul sans argument. La jurisprudence sur le LCEN n'est pas encore écrite, mais il serait stupide d'envisager qu'une interprétation dans le style de l'arrêt "soufflette" puisse exister. Permettez moi de trouver votre position sans valeur.

Au final, ce qui est intéressant, c'est la position des tribunaux. En première instance Guillermito est condamné et doit payé. Pour la suite, nous verrons ... Mais pour le moment votre position n'a pas éboulie le tribunal.

Il n'est pas sain de vouloir faire taire des opinions argumentées en affirmant que les gens sont stupides. Cela ne conduit à rien et ne vousplace pas très haut. Vous devriez le savoir.

Je serais donc curieux de lire des arguments plus fondés de votre part, que je pense pouvoir lire, quoique vous en pensiez.

84. Le mercredi 29 juin 2005 à 18:05 par Etienne

tiens, c'est beau ce que cite Maitre Itéanu dans le slide 4 de sa présentation dont le lien est cité plus haut

Article 1383
Chacun est responsable du
dommage qu ’il a causé non
seulement par son fait, mais
encore par sa négligence ou
son imprudence


La négligence qui consiste à laisser accessible à tous des codes permettant une attaque (tels que les codes de Guillermito) ou des codes défendus par les pro du full-disclosure pourraît donc être reproché à son auteur.

Eh ben, il s'en tire à pas cher le petit Guillermito. Ses codes mis en service librement n'ont-ils pas pas générés quelques problèmes à certains ?

Peut-être Veuve Traquine va-t-elle m'expliquer que je lis mal les citations de Maître Itéanu, ou que cet article ne peut être pris que dans le cadre d'un commentaire de l'arrêt "soufflette" et non des betisses (le mot est faible) de Guillermito ?

Contrairement à ce que plaidait Maître Eolas, la finalité d'une attaque ne serait pas nécessaire. La négligence suffirait-elle ?

Je vais avoir toute la "secte du full disclosure" sur le dos. Mais bon, j'attends leurs arguments et espérant qu'elles ne seront pas cachées par les insultes ...

85. Le mercredi 29 juin 2005 à 18:16 par globo l'trobô

Cher Etienne,

La répétition étant la base de la répétition, reprenons nos explications.... Quelle est votre interprétation de l'article 323-3-1 du Code pénal (pourriez-vous arrêter de parler de l'article 46 de la LCEN, le texte ayant été codifié, l'article 46 de la LCEN a été abrogé. Merci)?

Je reprends votre 1er message: "Tu ne peux pas fournir au public des moyens d'attaquer un logiciel, sans motif légitime. Tu dois en revanche pouvoir comuniquer tes trouvailles en cercle plus fermé, à des experts, pour étude et analyse, car là, le motif légitime est argumentable. Fournir à tout vents un soft qui sert à planter un moyen de défense informatique paraît difficilement légitime".

Votre argument est donc que communiquer les failles à des "experts" est licite, en parler en public ne l'est pas. Et bien vous avez perdu et je vais vous le démontrer.

La loi vise un "motif légitime" et, comme je vous l'avais déjà indiqué, lors de la discussion de la loi il a été précisé par M. Alex Türk que "Naturellement, la recherche scientifique et la sécurisation des réseaux pourraient entrer dans le champ des motifs légitimes". Remarquez que cette liste n'est pas limitatif et qu'il n'est pas fait ici mention de la qualité des personnes pouvant se prévaloir de ce motif légitime.

Mais pourquoi ne pas limiter le bénéfice légitime aux seuls "experts" travaillant en vase clos comme vous semblez vouloir le faire? Outre que ce n'est pas dans le texte (mais, après tout, vous semblez aimer les interprétations osées des textes de loi), les travaux parlementaires nous apprennent qu'une version antérieure de ce qui est devenue l'article 323-3-1 du Code pénal prévoyait que le bénéfice de l'exception de motif légitime ne s'appliquerait qu'aux organes ayant procédé à une déclaration préalable auprès du Premier ministre (allez voir le Rapport pour avis à l'Assemblée nationale de Mme Michèle Tabarot, n° 608, déposé le mardi 11 février 2003). Voilà vos fameux "experts"! Il paraissait en effet que "les notions de « besoins de la recherche scientifique et technique » ou de « protection et de la sécurité des réseaux de communication » sont particulièrement imprécises, susceptibles de recouvrir des organismes irréprochables et d'autres qui le seraient moins, certains pouvant être tentés de développer des virus informatiques en excipant de leur mission de sécurisation des réseaux". Vous avez pas la larme à l'oeil en lisant ça?

Pas de bol, vous l'aurez compris, la disposition a été amendée car, et je cite encore M. Alex Türk, "la préoccupation exprimée par l'Assemblée nationale est tout à fait légitime. Pour autant, la solution proposée pourrait susciter de sérieuses difficultés d'application". Hop, poubelle et on revient au motif légitime. Nous sommes donc à nouveau confronté au même problème: Guillaume a-t-il un motif légitime pour produire des PoC? Et il n'y a pas de qualité qui tienne ou de diffusion dans un cercle restreint d'expert ou non. Que faire mon Dieu, le suspense est intenable!

Je ne vais pas vous repointer les arguments qui indiquent un motif légitime chez Guillaume, je sais que vous êtes imperméable aux faits quand vous pouvez vous appuyer sur ce que vous avez appris en regardant une émission de Collaro. Je vais simplement vous proposez de faire comme moi et d'aller à la plage avec votre pelle et votre seau, les faits c'est tellement barbant.

Il s'agit bien sûr d'une boutade mais bûchez votre droit avant d'essayer d'imaginer des montages farfelus. Remarquez qu'en même temps vous nous permettez de faire du droit prospectif sur des hypothèses vraiment biscornues et de réviser des notions fondamentales.

86. Le mercredi 29 juin 2005 à 18:18 par globo l'trobô

A Etienne: Je viens de voir vos derniers messages. En fait ce n'est pas une boutade, je vous conseille d'aller à la plage et de laisser tomber le droit.

87. Le mercredi 29 juin 2005 à 18:55 par Veuve Tarquine

Etienne, vous devenez pathétique...

L'article 46 dont vous faites mention érige une responsabilité pénale (d'interprétation stricte) et vous vous chatouillez l'égo avec des articles du code civil...

Je suis désolée mais je ne peux rien pour vous, pas même faire semblant de vous prendre au sérieux un quart de seconde.

Continuez à crier de par le monde que la rate est le siège de la pensée mais par pitié, ne faites pas de semblant de vous étonner si l'on peut qu'hausser les épaules en levant les yeux au ciel...

88. Le mercredi 29 juin 2005 à 21:16 par djehuti

bah, tout le monde (j'espère) a bien compris que ce cher Etienne n'est pas ici pour parler de Droit, mais simplement pour rappeller que Guillermito a été condamné (pas assez sévèrement, bien entendu :-) ) au pénal et au civil et que donc, forcément... c'est un vrai vilain grand méchant qui fait rien qu'à chercher des poux dans la tête de ces gens honnêtes et respectables de Tegam (qui, au passage, n'existe plus sous cette forme)

puisqu'il y a plein d'appels, il vaut peut être mieux ne plus nourrir le troll et attendre la décision de la cour d'appel (qui sera favorable à Guillermito, je l'espère)... non ?

en tout cas, fini pour moi... il ne m'amuse plus (las)

89. Le mercredi 29 juin 2005 à 23:39 par etienne

Soit. Attendons l'appel. Et éventuellement l'établissement d'une jurisprudence. Car sur le fond, sous avez commenté des commentaires, mais en aucun cas répondu à mes remarques et moninterpellation sur un besoin de sécurité des SI.

Je me permets d'attribuer la palme de l'obscurantisme à Veuve Traquine qui me confond avec un chirurgien et répond par le mépris plus que par l'argument. Ele gagnerait à parler de tout cela à son spy, cela lui ferait le plus grand bien. Pour les autres, nous débaterons de tout cela lorsque :

Guillemrito aura été condamné en appel et que la cour de cass confirmera par arrêt.
Que les saines pratiques d'autres business (télécom / audiovisuel) s'imposeront à l'informatique. Mais sur ce dernier point, je doute que certaines personnes ne comprennent le sujet avant que de graves problèmes ne justifient de réelles condamnations.

Dans toute cette histoire, Guillermito ne sera jamais qu'un malheureux bidouilleur qui n'a pas encore compris pourquoi il doit être condamné. Mais le respect de l'ordre public ne semble pas une préocupation première des lecteurs (dans leur plus grand nombre) de ce forum.

Laissons donc du temps au temps. La morale fini toujours par s'imposer au droit ... avec le temps.

90. Le mercredi 29 juin 2005 à 23:49 par Veuve Tarquine

Tiens, Etienne aussi se met à glavioter quand il est piqué au vif...

91. Le jeudi 30 juin 2005 à 01:52 par E.

Cher ami Etienne

Faute des arguments de droit, je note un autre registre de votre argumentaire qui émerge, petit à petit :

"que les saines pratiques..."
"respect de l'ordre public..."
"la morale fini toujours par s'imposer..."

etc, etc.

Je vous souhaite du courage.

92. Le jeudi 30 juin 2005 à 10:18 par globo l'trobô

bof la discussion est plutôt amusante et ne concerne pas vraiment l'affaire de Guillaume puisqu'il s'agit initialement pour Etienne, chagriné par la légéreté de la condamnation, de rechercher de façon prospective les autres chefs sur lesquels Guillaume aurait pu être condamné en partant d'un texte d'incrimination qui ne pouvait s'appliquer en l'espèce car postérieur aux faits. C'est un peu comme Matlock, ça fait réfléchir sans bouger de sa chaise et c'est plutôt sympathique.

Je suis heureux d'apprendre que "sur le fond, [nous] av[ons] commenté des commentaires, mais en aucun cas répondu à [vos] remarques et [votre] interpellation sur un besoin de sécurité des SI". Peut-être n'avez-vous pas compris que je *citais* des débats parlementaires et non un commentaire d'iceux? Ou peut-être les travaux auxquels nous vous renvoyons ne cadrent-ils pas avec votre interprétation du texte de loi? Dans ce dernier cas, je me dois de vous informer que les tribunaux font un plus grand cas de ce qu'a dit le législateur dans ses travaux préparatoires que de ce qui vous a été rapporté par Le Monde Informatique, CIO Magazine, CSO, Mag-Securs et même par vos amis qui vont à des conférences. Je le regrette autant que vous mais tout n'est pas perdu, pour accéder à tous ces textes, il existe les excellents dossiers législatifs de Légifrance: www.legifrance.gouv.fr/ht... Vous verrez, c'est du très bon français.

Je ne sais pas ce que nous pouvons attendre de l'appel, en tout cas rien sur l'article 323-3-1 du Code pénal.

93. Le jeudi 30 juin 2005 à 11:19 par Guignolito

@Etienne:

Vous devez vous croire sacrément fort pour penser tenir tête aux trois avocats (Eolas, Tarquine, Globo) qui vous disent que vous vous trompez sur vos interprétations des textes de lois.

Si le droit c'était si facile, je serais le premier à le savoir ! Ca fait un moment que j'essaie de comprendre certaines portions du CPI (en amateur total il est vrai), et je si je comprends certaines choses, je dois admettre que tout le reste m'est obscur.
Je pense pourtant ne pas être un manche question intellect, mais je ne suis tout simplement pas juriste de formation. Il y a donc des techniques fondamentales du droit, que d'autres auront apprises durant leurs études, que j'ignore. Et les nombreux articles de vulgarisation lus ici où là (notamment ceux de Maître Eolas) ne suffiront jamais à lever mon incompétence profonde en la matière.

Bref, toute argumentation juridique de ma part m'exposerait au ridicule le plus complet devant des professionnels expérimentés. C'est ce qui vous arrive en ce moment.

C'est pourquoi Tarquine vous compare à quelqu'un qui croit que la rate est le siège de la pensée. Elle pousse la caricature à l'extrême, mais c'est ce que vous faites.
Vous, néophyte s'il en est, prétendez qu'elle, avocate spécialisée et expérimentée, n'y connaît rien dans son domaine ! Ne savez-vous donc point que Tarquine ne laisse même pas les magistrats lui dire qu'elle n'y connaît rien ? bricablog.net/index.php/2...

Quant au piratage des réseaux SS7, je trouve en 5 minutes : "Telecom Security: Hacking SS7 Networks", une conférence d'un certain Emmanuel Gadaix au BCS Asia 2005, le 24 mars dernier. Il y a eu aussi un intéressant "Hacking Internet Banking Applications" la veille.
Coût d'entrée du tout ? 320 dollars, plus l'hôtel et l'avion, soit quelques milliers d'Euros à tout casser. Une paille, sachant les bénéfices potentiels que ces quelques bribes de connaissance peuvent apporter.
Et vous croyez que seuls les "gentils" y ont assisté ? Bienvenue sur la planète des Bisounours ! embruns.net/logbook/2005/...

Le "full disclosure" n'est pas une secte : c'est simplement la remise en cause d'une "évidence". Les gens ont longtemps crû que tout cacher amenait plus de sécurité. Simple bon sens, me diriez-vous ? Pourtant le paradoxe, c'est que c'est absolument faux.

Exemple : si les serruriers avaient tout le temps pensé et crû que personne ne crochèterait leurs serrures, comment imaginez-vous l'état technique des serrures actuelles ?

94. Le jeudi 30 juin 2005 à 16:40 par Scalde

Etienne est en fait un chercheur en cybercriminalité.
Dommage qu'il copie autant les thèses de sa consoeur Danielle Kaminsky. Je trouve qu'il devrait au moins la citer

95. Le jeudi 30 juin 2005 à 17:06 par Etienne

Très cher Guignolito (marrant ce pseudo !), ce n'est pas parceque l'on trouve tout et n'importe quoi sur n'importe quel moteur de recherche en 5 minutes que l'on connait les usages d'une profession sur les techniques SS7. Je puis d'assurer avoir participé à des conférences internationales au cours desquels, en privé, nous discutions à quelques uns de graves failles de réseaux IN, je me souviens même une fois que nous en parlions en présence d'un journaliste. Le risque portait sur des sommes collosales pour les telcos. Et pourtant, personne ne publiait, personne ne cherchait à exploiter la dite faille. Nous faisions avec, un peu comme dans un club de personnes de bonne fréquentation. Tout est off the record, et comme tout le petit groupe se connaît, personne n'ose sortir du groupe. En public, les présentations sont moins explicites et l'info ne sort pas. Il n'y a pas d'attaques, car pas de connaissance pour l'attaquant et sûrement pas de rootkits. Les failles dans ce domaine sont corrigées lorsque cela est possible, car j'ai vu des coûts de correction se compter en dizaines de MFF et parfois en centaines. Si on peut attendre un peu (parfois des années !), cela fait autant en moins à payer pour le consommateur final. Tout le monde s'en porte bien.

Mais ce n'est pas le cas le monde du PC dans lequel il est admis que le PC (ou le Mac) se plante de temps en temps. Dans le monde des grands réseaux, le plantage est interdit : c'est culturel. Personne n'arrête un réseau national ou international de télécoms. Donc on met les moyens qu'il faut et on apprend à se taire lorsqu'il le faut. D'où ma position sur la "secte bien pensante mais naïve du full disclossure".

Dans le monde du PC, et de l'IP, ce n'est pas la même culture. Le problème aujourd'hui est la trop grande facilité à concevoir des attaques avec des codes pris à droite et à gauche sur le Web. La fusion des mondes informatique/télécom/audiovisuel nous amène à de nouveaux risques. De grands penseurs affirment que le full disclosure est pour le bien de la liberté d'expression. On le tolère en effet quand le mal est supportable. Sinon, il se trouvera rapidement de nouveaux grands penseurs (peut-être même les mêmes) pour justifier qu'il est normal de faire taire les bavards et les imprudents. Le phénomène rootkits/rootkids peut amener des dégats très importants.

Et alors là, je suis certain que la loi sera interpretée avec la plus grande sévérité car personne ne supportera le préjudice. Exit la clémence (coupable à mes yeux) de jugements tel que celui de Guillermito. Que ferait-on si une attaque permet d'arrêter les centrales électriques, le contrôle aérien ou le trafic ferroviaire ? La tolérance ne serait pas de mise et les demandes de "nettoyage au karcher" seraient perçues comme légitimes. Nous n'en sommes pas là car de telles attaques n'ont pas eues lieu. Tant mieux !

Un certain nombre d'experts pensent cependant que telles attaques sont possibles et qu'il faut s'organiser pour les rendre impossibles. D'où certaines positions à contre courant du "full disclosure"

Il faut probablement se préparer à des évolutions de jurisprudence en conséquance de la menace... La profession dans son ensemble doit intégrer de telles hypothèses. Les avocats ont un rôle à jouer et les comportements "à la guillermito" pris pour ce qu'ils sont "des actes à honnir".

96. Le jeudi 30 juin 2005 à 19:26 par qwertz

"Il n'y a pas d'attaques, car pas de connaissance pour l'attaquant"

Je dois avouer que la sécurité par obscurité (traduction triviale de "security through obscurity", en.wikipedia.org/wiki/Sec... ) est le modèle rigoureux et efficace. D'une part il faut imaginer que personne n'a la connaissance, et d'autre part que personne ne cherche à l'obtenir. C'est bien entendu impossible, les hackers (merci de lire la définition, pas l'usage que l'on en fait dans les media: www.outpost9.com/referenc... ) sont légion.


"cela fait autant en moins à payer pour le consommateur final. "

Je dois avouer qu'ignorer les failles est, effectivement, plus économique que de les combler. Mais peut-être eut-il été plus efficace de concevoir un système moins sensible à la base. Le bon sens populaire ne conseille-t-il pas de prévenir plutôt que guérir...

Mais bon, ordre, jurisprudence, et autres morale ont toujours été des rempards impreables. C'est pour cela que l'on trouve des pilleurs d'église, voire des pick-pocket oeuvrant lors des exécutions capitales de jadis...

Bon, je retourne "derrière la porte" comme on disait du temps de la CB ;-)

97. Le jeudi 30 juin 2005 à 20:01 par xilun

Bah je capte mieux maintenant : Etienne essaye de transposer des connaissances précises qu'il a dans un domaine à un autre domaine pas forcement très éloigné, mais en l'occurrence fort différent. Ceci étant ca ne justifie pas les énormités proférées en matière de droit, de sécurité informatique, et j'en passe, dont on pourrait ne pas se formaliser si elles n'étaient exposées avec tant d'assurance comme étant la vérité absolue.

Sa capacité à se braquer sur le full disclosure est impressionnante, surtout sur une affaire qui n'est pas concernée. C'est presque au niveau de ce que je suis capable de sortir pour défendre le LL coute que coute ;)

Reste que ce thread m'a bien fait rire, merci à tous :)

98. Le jeudi 30 juin 2005 à 20:03 par Roland Garcia

<Un certain nombre d'experts pensent cependant que telles attaques sont possibles et qu'il faut s'organiser pour les rendre impossibles. D'où certaines positions à contre courant du "full disclosure"
Il faut probablement se préparer à des évolutions de jurisprudence en conséquance de la menace... La profession dans son ensemble doit intégrer de telles hypothèses.>

Demain on rase gratis....

En bref et en faisant abstraction de votre noyage de poisson (1), votre mission (si toutefois vous l'acceptez) ne consisterait-elle pas à nous recaser la ligne Maginot ?

(1) noyage de poisson qui ne peut que me rappeler ceci:

"Lorsqu'en effet une théorie est en contravention permanente avec la logique, contredisant certains faits ou se contredisant elle-même, lorsque ces contradictions sont évidentes ou ressortent du témoignage de ses propres partisans, le bon sens et la raison suffisent pour déceler les vices de la théorie et pour apprécier le crédit qu'elle mérite"

(René Bertrand-Serret, La superstition transformiste)

99. Le jeudi 30 juin 2005 à 21:09 par djehuti

bon, puisque apparemment Maître Eolas cherche à entrer dans le livre des records avec le plus grand nombres de réponses à un de ses billets...

> Que ferait-on si une attaque permet d'arrêter les centrales électriques, le contrôle aérien ou le trafic ferroviaire ? La tolérance ne serait pas de mise et les demandes de "nettoyage au karcher" seraient perçues comme légitimes.

j'ai un avis, mais je ne suis pas certain qu'il aille dans ton sens :-)

vu les enjeux dont tu parles (au niveau d'un état), je dirais que celui qui a vendu une telle daube a du soucis à se faire (il me semble que le Paraguay n'a toujours pas signé d'accords d'extradition)

selon moi, l'avantage du full disclosure est qu'il pousse à plus de sécurité alors que ta solution laisse en l'état en essayant tant bien que mal de cacher ce qui a été mal fait (baclé ?)

c'est un peu comme dans l'aviation civile
il y a quelques temps les autorités (compétantes) d'un pays de l'UE ont interdit de vol des appareils d'une compagnie "exotique"... préférant prévenir que d'aller ramasser les passagers à la petite cuillère

100. Le jeudi 30 juin 2005 à 22:26 par Guillermito

Commentaire no 100 !! Ouaaiiiis ! :)

Désolé.

101. Le jeudi 30 juin 2005 à 22:38 par globo l'trobô

Guillermito, enculé, je voulais le 100e! Je te fais un procès!!!

En même temps y a au moins un message qui a été enlevé du fil, je propose donc de le remettre comme ça tu seras le 101e ou alors on en enlève 1 et je serai le 100e. Ca me paraît fair-play.

102. Le jeudi 30 juin 2005 à 23:36 par globo l'trobô

Bah Etienne, fallait le dire que vous veniez des telcos. Vous savez ce que disent les vieux ingés telco de FT après un repas bien arrosé: "notre réseau était si parfait, pourquoi est-ce qu'on a dû le partager avec ces connards d'abonnés?" J'ai même un prof qui a vu la fin de la civilisation le jour où on a autorisé les abonnés à brancher des terminaux non-FT sur le réseau. Et le modèle OSI avec ses 7 couches, ça vous donne pas envie de chialer?

Plus sérieusement, je n'ai pas inventé l'interprétation de l'article 323-3-1 du Code pénal que je vous ai proposé. J'ai dû lire ça il y a plus de 6 mois et comme j'avais vérifié les textes (y a pas que les journalistes qui écrivent des conneries, y a aussi les juristes qui écrivent dans les journaux) ça traînait encore dans ma mémoire (et y a toujours les textes pour revérifier).

A priori je dirais qu'il s'agissait d'une chronique juridique dans un magazine professionnel type Mag-Securs mais je n'y mets pas ma tête à couper. C'est en décembre au plus tard donc vous pouvez toujours vérifier les mags spécialisés du secteur entre le moment de la promulgation de la loi en juin et décembre. Plus généralement, y a bien quelqu'un qui a fait une chronique juridique rigoureuse sur ce texte. A voir donc dans les bases de données juridiques (sachant que les discussions au Parlement et entre juristes étaient dans mon souvenir très orientées virus, ce qui sort de la question de la promulgation des vulnérabilités).

Si vous trouvez et que les commentateurs disent le contraire de ce que j'ai dit ici, vous pouvez revenir me crucifier.

103. Le jeudi 30 juin 2005 à 23:38 par Tweakie

Etienne,

Tu negliges ou fais mine de negliger plusieurs points essentiels :

1/Concernant le "full disclosure" :


- Il existe une difference essentielle entre la securite des PCs, des stations UNIX et celles des reseaux telecoms :

Tout le monde peut s'acheter un PC, installer OllyDbg (gratuit), la version gratuite d'IDA, winDbg (gratuit), apprendre a s'en servir et commencer a trifouiller par lui-meme les programmes qui sont sur sa machine (idem sous Linux, bien sur). A fortiori, les vilains mechants peuvent faire de meme. La difference fondamentale avec les telecoms est principalement une question de moyens : on est heureux de savoir que "The Telecommunications Act of 1996 grants an SS7 network connection to any entity (including a possibly malicious one) for a modest fee (currently $10,000) [13]. " ( www.itoc.usma.edu/Worksho... ), meme pour pour quelqu'un de mal intentionne', ca represente un investissement important. En resume', d'un point de vue materiel la recherche de faille et le developpement de codes offensifs sur PC - from scratch - sont faciles.

Une consequence immediate de cette facilite' d'acces est que tandis que les protocoles telecoms restent la specialite' d'un nombre tres restreint de specialistes (tu le dis toi meme), la securite des applications pour PC est un domaine qui touche enormement de monde, entreprises comme particuliers. Or le temps pendant lequel il est raisonnable d'esperer qu'une information reste confidentielle est au mieux inversement proportionnel au cercle de personnes qui partagent initialement cette information. A la rigueur, le secret pourrait etre conserve' pour certaines failles ciblees affectant telle ou telle application, mais il faudrait etre sacrement naif pour croire que ce modele puisse s'etendre aux techniques de recherches de failles et de conception de code offensif.

- Pretendre reguler la diffusion de l'information sur internet par la voie legale, c'est oublier que l'on a affaire a un reseau mondial.

Tu raisonnes comme s'il s'agissait d'un probleme franco-francais. Toutefois, il se trouve que la grande majorite' des bidouilleurs francais sont capables de lire et de comprendre l'abondante documentation anglophone. Un durcissement de la legislation et de la jurisprudence francaise aura-t-elle un effet notable sur la diffusion de codes malveillants depuis l'etranger (hors U.E) ? L'analogie avec la ligne Maginaut me plait assez.

2/ Concernant le cas de Guillermito en particulier :

- Ne t'en deplaise, Guillermito est juge' pour contrefacon, pas pour avoir publie' du code dangereux. Libre a toi de penser que la copie d'une poignee d'octets sub-aleatoires, non executes, constitue un delit impardonnable.

- Si, effectivement, c'est le "full disclosure" et la diffusion de code potentiellement dangereux que tu vises, pourquoi te focaliser ainsi sur Guillermito ? Au cas ou tu aurais oublie' de suivre le lien que j'ai copie' plus haut a propos de GoodLuck/Casper ( www.newffr.com/viewtopic.... ), je resume : Eyal Dotan a co-ecrit une serie d'articles (Virus Bulletin, MISC) sur les chevaux de Troie "evolutifs et furtifs", et a fourni (lui ou le co-auteur de l'article, mais il me semble raisonnable de les considerer comme solidaires) le code source d'un cheval de Troie mettant en oeuvre les techniques decrites dans ces articles aux organisateurs de la conference BlackHat, pour que ceux-ci le mettent en ligne sur leurs site web. Ce cheval de Troie est specifiquement concu pour pouvoir fonctionner depuis le reseau local d'une entreprise (contournement de firewall personnel et de proxy avec authentification). De par son objectif et sa conception, il est beaucoup plus similaires a des programmes malicieux comme Gaobot, Rbot, etc, qui font partie des codes malveillants les plus repandus a l'heure actuelle. D'ailleurs, il est detecte' par la majorite' des anti-virus classiques. Sachant que, par ailleurs, Tegam vend un produit sense' detecter cette meme menace, n'est-ce pas une cible beaucoup plus indiquee que Guillermito pour ton courroux ?


> Très cher Guignolito (marrant ce pseudo !),

Ouaip, d'ailleurs il a deja ete employe' par d'autres "utilisateurs independants", sur fr.comp.securite.virus :

groups-beta.google.com/gr...

...mais apres coup, il s'est avere' que ces utilisateurs n'etaient pas forcement si independants que ca :

www.acbm.com/olivier-aich...

M'enfin, tu le savais sans doute deja ;-)

104. Le vendredi 1 juillet 2005 à 11:08 par Guignolito

@Etienne

Les comportements d'intrusion non-autorisée et de détérioration d'un système d'information, ainsi que tout un lot d'autres délits informatiques (et de télécommunications, par extension) - ceux pour lesquels vous réclamez un "nettoyage au karcher" à la Sarkozy - sont punis depuis longtemps par la loi. S'il y a des avocats qui traînent encore ici, ils vous donneront les références. Je ne crois pas qu'il y ait besoin de rajouter aux lois existantes, quand bien même un groupe de crackers arriverait à planter tous vos chers réseaux de télécommunications.

Et dans cette affaire, que je sache, personne n'a commis de tels délits envers Tegam. Pourquoi voulez-vous absolument condamner Guillermito pour un délit imaginaire ?

Quand je lis : "un peu comme dans un club de personnes de bonne fréquentation" et "on apprend à se taire lorsqu'il le faut", je me dis comme il est joli joli le monde des Bisounours ! :-)

Comme si dans cette spécialité, il n'y avait personne qui se fait licencier ? Aucun ingénieur en colère contre son ex-employeur ? Ou qui a des dettes, est corrompu, doit se faire un peu de money-money avec la mafia russe pour arrondir les fins de mois ? Ou alors, qui subit les pressions des services secrets d'un pays quelconque ?

Un environnement de travail si parfait, c'est trop beau pour être vrai.

Le prix est la seule barrière d'entrée pour les bidouilleurs occasionnels. Si les prix baissent, ou que des méthodes d'accès (interfaçage via le Net) bon marché arrivent, ces réseaux sont bons pour une remise en cause publique et profonde de leur sécurité.
Je suis prêt à parier que les failles sont déjà exploitées, en fait, et que les exploitants ne s'en aperçoivent tout simplement pas.
Quant vous lisez la conclusion de l'article des Proceedings of the 2001 IEEE, cité par Tweakie, vous avez la confirmation de mes soupçons :

While substantial attention has been directed at securing
computer networks, little work has focused specically on
public telephone networks (PTNs). This paper is among
the first to analyze vulnerabilities in SS7 networks and
present an attack taxonomy.

C'était il y a 4 ans, mais c'est révélateur.

D'ailleurs, je vais vous révéler quelques secrets :
* En 1878, 2 ans à peine après l'invention du téléphone, un groupe de personnes non-autorisées en est exclu.
* En 1976, Steve Jobs et Steve Wozniak vendaient (underground) des "blue boxes", afin de détourner les systèmes téléphoniques.
* En 1987, les autorités arrêtent Herbert Zinn, un ado de 17 ans qui avait cracké les systèmes d' AT&T. Selon les experts, il était à 2 doigts de planter tout le réseau téléphonique américain...

Et oui, les premiers systèmes auxquels se sont intéréssés les pirates étaient les réseaux télécoms... S'il y a apparemment moins de piratage et de fraude maintenant, ce n'est pas parce que ces réseaux sont plus sûrs. C'est juste qu'avec le Net, VoIP, le PC et Linux, une grande partie de ces bidouilleurs ont trouvé des moyens de communication gratuits, et des terrains de jeu plus excitants.


Et quant à mon pseudo, je l'ai choisi de manière ironique, car Guillermito n'est pas Guignolito, contrairement à ce que certains ont voulu faire croire (suivez mon regard...). @Tweakie : ça te rassure ?

105. Le vendredi 1 juillet 2005 à 11:56 par Etienne

Il y a quand même un truc marrant dans vos réactions, c'est votre capacité à déduire à partir d'un seul fait, sans recoupement et approfondissement. Ainsi, selon globo l'trobô je viens des Telcos. Fort comme conclusion. Je connais ce monde en effet, mais c'est loin d'être le seul.

J'ai pris cet exemple car c'est le plus simple et le plus parlant. J'aurais pu aussi prendre des exemple dans l'industrie de défense et les armées (que je connais également, ne concluez-pas pour autant que je suis en général en retraite ...), mais je ne suis pas certain que le lectorat de ce blog ait beaucoup de références en la matière et pour l'occasion, les exemples intéressants à citer ne tolèrent que peu de publicité.

Il y a dans ce qui est dit de nombreux points exacts. Mais il y a un aveuglement : le monde du PC et des petits softs ne concerne plus que les joyeux bidouilleurs. Il est même en train de prendre le pas sur d'autres domaines. Les télécoms, mais aussi la défense. Dès lors les règles doivent évoluer pour être compatibles avec les exigences des mondes qu'il impacte.

Dans ces mondes, il existe des club d'utilisateurs qui échangent, travaillent et font évoluer les produits et la sécurité. Cela marche très bien pour des gens tels IBM, Computer Associates, etc. Il n'est pas besoin de Guillermito pour sauver la planète technologique en balançant des trouvailles sans réfléchir, juste pour s'amuser pourrait-on dire.

On peut parfaitement faire évoluer la sécurité informatique sans ce full disclossure incontrôlable et dangereux. En communiquant à qui de droit et en contrôlant. C'est ce que l'on fait dans tous les secteurs industriels. Le PC est ses softs constituent désormais un industrie mature qui doit prendre les règles du monde professionnel et exclure les comportements de gamins irresponsables.

La condamnation de Guillermito est un bon signal, il est souhaitable qu'elle soit confirmée en appel et il serait bon que la motivation aille au-delà de la contrefaçon pour prendre en compte la mise en danger des utilisateurs.

Rappelons que les conclusions de Guillermito étaient grotesques : viguard peut être désactiver sous Win 9x/Me. Il n'a rien démontré sur NT, 2000 et XP. Quel utilisateur soucieux de sécurité reste sous Win 9x/me ? Aucun ! Donc que vaut la démo de Guillermito qui affirme que le consommateur n'a pas la sécurité qu'il souhaite en achetant le produit : pas grand chose, pour le moins. Et le caractère scientifique des affirmations de "daube" renvoie à des motivations autres qui ont déjà été abordées.


Pour autant, la technologie Viguard peut être étudiée et ses limites exposées. C'est ce que fait le professeur Filiol (il ne vient pas telcos lui, mais de l'armée) de façon scientifique www.mag-securs.com/article.php3?id_article=2183. Viguard entre dans la catégorie des contôleurs d'intégrité. C'est ce type de comportement qu'il faut promouvoir, et non celui de Guillermito.

106. Le vendredi 1 juillet 2005 à 15:24 par Guignolito

@Etienne : "Dès lors les règles doivent évoluer pour être compatibles avec les exigences des mondes qu'il impacte."

Exactement ! Les incompétents qui ont fabriqué des systèmes troués comme du gruyère doivent être virés ! Ce sont eux qui sont incontrôlables et dangereux ! Pour protéger leur boulot et leur chiffre d'affaires, on voit bien ce dont certaines entreprises incompétentes sont capables.

Vous croyez que le full disclosure est dangereux car vous pensez qu'après disclosure, tous les script-kiddies de la planète vont faire joujou. Ce que vous oubliez, c'est que ces enfants ne sont que la partie émergée de l'iceberg.

Car si Guillermito ou n'importe quel autre publie une faille, il n'est certainement pas celui qui l'a découverte en premier. Probablement très longtemps avant lui, il y a eu des méchants, des vrais, ceux dont vous n'entendez jamais parler, et qui viennent de Russie, de Chine ou des plomberies polonaises. C'est la partie immergée de l'iceberg, ceux qui ont beaucoup de moyens, des vrais pros.

Eux ont largement eu le temps de s'en mettre plein les poches. Pour leur couper l'herbe sous le pied, il faut découvrir et corriger les failles le plus vite possible. Sans full disclosure, vous réduisez considérablement votre efficacité.

Mais ceci fait un moment que nous vous comprenons tous, monsieur Etienne : vous aimeriez que le monde se conforme à votre vision morale et vos désirs. Malheureusement, ce n'est pas le cas, et ne le sera pas. Ce sont des caprices de gamins irresponsables.


À part ça, cher Étienne, vous écrivez :
"Donc que vaut la démo de Guillermito (...) : pas grand chose, pour le moins."
alors que quelques lignes plus tôt, c'est :
"La condamnation de Guillermito est un bon signal, ... prendre en compte la mise en danger des utilisateurs."

La démontration de Guillermito est nulle et ne vaut rien, mais vous voulez qu'il fasse un joli paquet d'années de prison, parce qu'il (n') a (pas) mis les utilisateurs en danger ?
C'est ce que j'appelle de la logique sacrément floue.

Mais bon, vous n'en êtes plus à une contradiction près...

107. Le vendredi 1 juillet 2005 à 16:55 par Etienne

Vous êtes drôle Guignolito (c'est vrai qu'avec un pareil pseudo ...). Mais on arrive avec vous à un niveau de sophisme pathologique.

1/ Tous les éditeurs laissent des bugs dans les softs, parler d'incompétents est stupide. Il faut accepter que les softs sont par nature imparfaits et ne pas vouloir viré quelqu'un parceque l'on a trouvé une faille, sinon il ne va pas rester grand monde dans l'industrie du logiciel. Les justiciers (les zorros dirait Tegam) n'ont en revanche pas de rôle à jouer.

2/ Trouver les failles n'est pas une mauvaise chose et je n'ai jamais pris position contre la recherche des failles. C'est la publication inconsidérée qui est dangereuse, et à mon sens coupable au titre de l'Article 1383 "Chacun est responsable du dommage qu ’il a causé non
seulement par son fait, mais encore par sa négligence ou son imprudence". Quand une faille est trouvée, on peut la traiter sans donner les codes des moyens d'attaques à toute la planète. C'est ce que j'ai écrit, rien d'autre. Je confirme que le full disclosure n'est pas nécessaire, ni souhaitable. D'autres professions ont déjà régler cette question. L'informatique y viendra, je prends le pari.

3/ Je maintiens que la démonstration de Guillermito est plus une gaminerie qu'un travail scientifique. Il n'a notamment pas démontré la possibilité de dupter un contrôleur d'intégratité comme l'aborde le professeur Filiol, qui est serait applicable à Viguard sous Windows XP. Pour ces circonstances aténuantes et la médiocrité de son travail, on ne lui appliquera pas la peine de mort, une bonne volée de bois vert suffira (je plaisante !). La faiblesse scientifique de Guillermito n'enlève donc en rien la nécessité d'une peine suffisante pour faire réfléchir d'autres zozos dans son style. Une peine suffisante doit être assez forte. Voilà. Il n'y a pas contradiction pour celui qui veut entendre.

Au plaisir de vous lire, cher ami. mais évitez les boufonneries et guignoleries...

108. Le vendredi 1 juillet 2005 à 17:25 par Guillermito

Windows XP est sorti fin 2001. Mon travail d'analyse de Viguard date en majorité de l'été 2001 et début 2002. Vous allez aussi me reprocher de n'avoir pas testé sous Longhorn et MacOS X ?

De plus, encore une fois, vous n'avez pas lu ma page, et vous racontez n'importe quoi. Au chapitre 2.7, j'ai montré qu'il était très simple de duper le contrôle d'intégrité de Viguard en construisant un fichier de certification sur mesure, pour "certifier" n'importe quel programme, qui n'était alors pas du tout bloqué par Viguard. Etant donné que ces fichiers de certifications se trouvaient (plus maintenant dans les dernières versions, bizarre, hein ?) dans chaque répertoire, et qu'ils n'étaient pas protégés (plus maintenant, bizarre, hein ?), il n'y avait aucun problème d'accès en fonction des droits d'utilisateur.

Bref, vous n'avez toujours pas lu la page dont vous parlez, et vous racontez n'importe quoi, en espérant que personne ne relève votre incompétence, puisqu'il s'agit maintenant de travaux qui datent de bien trois-quatre ans.

A propos, votre acharnement à me voir mordre la poussière, quitte à raconter n'importe quoi sur les plans juridique et technique, ça n'est pas un problème personnel avec moi, au moins ? On ne s'est pas rencontré en 1983 dans une émission de Philippe Bouvard ? On ne sait jamais.

109. Le vendredi 1 juillet 2005 à 17:27 par Guignolito

Sophisme pathologique ?

1/ on peut éviter beaucoup de bugs, dès le départ, si l'on s'en donne les moyens. Hors le fonctionnement commercial des éditeurs que je connais... Et pourquoi vous en prenez-vous aux "zorros" ?

2/ pour la n-ième fois, si vous n'avez pas compris pourquoi votre raisonnement juridique vaut ZÉRO, on peut plus rien pour vous.

3/ pour nul que je sois en droit, vous vous rendez compte de l'énormité que vous venez d'écrire : "une peine suffisante pour faire réfléchir d'autres zozos dans son style" ?????

110. Le vendredi 1 juillet 2005 à 17:50 par Etienne

Guillermito,

en 2001 et 2002, les notions de sécurisation de l'OS Windows XP était déjà connu avec windows NT et 2000. Vous auriez donc du souligner que vos travaux ne porter pas sur ces environnements et que Viguard n'était pas attaquable dans ces environnements. Ainsi, le consommateur aurait pu comprendre que le produit Viguard est faible sous Windows 9x/Me, mais valable sous les autres. C'est celà la différence entre la science et les publications contre un produit. Je ne vous considère pas comme un vrai chercheur en sécurité informatique. C'est mon opinion. Voilà. Désolé pour vous.

Pour le reste si nous nous étions rencontré, vous en souviendriez, soyez en certain, mais je pense que vos propos ne sont sans quelque humour. Quant à vous faire mordre la poussière, non ce n'est pas mon objectif. Je tiens simplement à ce que l'on revienne à de meilleures pratiques en informatique. Il n'y a pas de question personnelle, d'ailleurs, en dehors de votre pseudo, je ne vous connais pas. Votre condamnation doit faire évoluer les pratiques informatiques. C'est tout et c'est ainsi que fonctionne la société. Guillermito ne doit pas être un exemple à suivre. Quant à vous même, vivez la vie comme vous la voulez et soyez heureux en oubliant vos erreures passées. Si vous les reconnaissiez comme des erreures, ce serait plus simple, non ?

Guignolito, sur votre point, il faut des moyens nous sommes d'accord. Votre point 2 est une opinion personnelle. Je ne comprends pas votre point 3.

111. Le vendredi 1 juillet 2005 à 18:13 par Etienne

Guillermito,

soyons clair. Que vous ayez voulu étudier Viguard ne me dérange pas. Pour ce qui est de l'achat de la licence, c'est dommage pour vous, mais vous avez eu tort et il est bon de rappeler que les éditeurs ne peuvent avoir les moyens de faire du bon travail que si l'on défend le fait que les licences sont payées.

Le point qui me choque le plus est la manière avec laquelle vous avez utilisé vos trouvailles. La diffusion à tous ventsde codes permettant portentiellement des attaques n'est pas, à mon avis, ce qu'il fallait faire.

En gentlemann, cela pouvait se débattre dans un club d'utilisateurs de Viguard dans un esprit positif. Mais ce n'est pas votre manière de faire ...

Ce sont de telles approches que l'on souhaitrait voir se développer.

112. Le vendredi 1 juillet 2005 à 18:14 par Guillermito

Ca serait bien quand même de lire *en entier* mes commentaires. Je sais qu'ils sont parfois un peu techniques et que vous n'êtes pas très compétent, mais je parlais d'une de mes démonstrations (chap 2.7) et je disais "il n'y avait aucun problème d'accès en fonction des droits d'utilisateur". Donc, Win9X, XP, NT, 2000, ça aurait fonctionné pareil.

Bref.

Sinon, ça ne vous ennuie pas de dire "je ne vous connais pas", alors que vous avez écrit un peu plus haut mille choses affreuses sur mon passé de délinquant terroristo - djihadiste je ne sais quoi, à tel point qu'Eolas a dû vous censurer ? Vous me connaissez ou pas ? Vous savez qui je suis vraiment (le bras droit de Ben Laden), ou vous inventez ?

Quant à ma compétence de scientifique que vous mettez constamment en doute, j'ai publié dans Nature, et je vous emmerde. Olé.

Fin de la discussion. Revenez plus tard avec un nouveau pseudo, comme d'habitude.

113. Le vendredi 1 juillet 2005 à 18:34 par Etienne

il y a 4 traits de caractères dangereux chez un individu pour le retourner :

1/ l'argent - classique
2/ le sexe - facile
3/ le goût du pouvoir
4/ l'égo démesuré

Dans votre cas, le point 4 est remarquable. Vous ne savez pas dire que vous êtes allé trop loin. Que dire de plus ?

114. Le vendredi 1 juillet 2005 à 18:47 par Guillermito

Ne manquait plus que la psychologie de comptoir pour boucler la boucle :)

115. Le vendredi 1 juillet 2005 à 18:59 par Veuve Tarquine

Cela me fait penser à une chanson de Steve Warring que j'adorais quand j'étais petite.

« Thomson le vieux fermier a beaucoup d'ennuis
Il n'arrive pas a se debarasser de son vieu gros chat gris
Pour mettre a la porte son chat il a tenté n'importe quoi
Il l'a meme posté au canada et lui a dit ''tu restera la!''...

Mais...Le matou revient le jour suivant...
Le matou revient il est toujours vivant...

Thomson vit un ptit gars pour assassiner le chat
L'enfant part a la pêche l'animal dans ses bras
Au milieu de la rivière le canot a coulé
Le fermier apprend que l'enfant s'est noooyé...

Mais...Le matou revient le jour suivant...
Le matou revient il est toujours vivant...

Le voisin de Thomson commence a s'énerver
Il prend sa carabine et la bourre de TNT
Le fusil éclate...la ville est affolée
Car une pluie de petit morceaux d'homme vient de tomber...
(Tien un doigt,oh un genou,hum un oeil,ahhh des chveux)

Mais...Le matou revient le jour suivant...
Le matou revient il est toujours vivant...

Le fermier decouragé envoi son chaton chez le boucher
Pour qu'il en fasse du hachiparmentié, de la chair a paté, du hamburger
Le matou hurle et disparait dans la machine''miaou miaou miaou''
De la viande poilue est affichée sur la vitrine...

Mais...Le matou revient le jour suivant...
Le matou revient il est toujours vivant...

Un fou s'engage a partir en balon
Pour aller dans la lune déposer ce chaton
Au cours de voyage le balon a creuvé
Et a l'autre bout du monde un cadavre est retrouvé

Mais...Le matou revient le jour suivant...
Le matou revient il est toujours vivant...

Cette fois ci on expedit le chat au cap kennedy
C'est dans une fusée a trois étages qu'il est parti
Le fermier saute de joie car il n'a plus de soucies
Et puis le lendemain matin on l'appelle de miami
''We have a cat...thank you very much''

Mais...Le matou revient le jour suivant...
Le matou revient il est toujours vivant... »

Droit, informatique, psychologie et le matou revient le jour suivant...

Comme ça je suis hors sujet ? Bah, un peu plus un peu moins ... :)

116. Le vendredi 1 juillet 2005 à 19:32 par Scalde

"La diffusion à tous vents de codes permettant portentiellement des attaques n'est pas, à mon avis, ce qu'il fallait faire."

Là il/elle a raison notre chercheur en cybercriminalité. Tu aurais mieux fait, Guillermito, de les revendre entre 10.000 et 50.000 $ aux racketteurs de tous poils qui auraient pu investir les organismes utilisant Viguard et se croyant protégés. Fatale illusion.

N'oublions pas cette tierce partie qui à elle seule suffit à expliquer la vindicte incontrôlable d'Etienne qui ne sait pas écrire un seul billet sans une attaque ad hominem : je veux dire les clients de Viguard.

Et donc pas le choix, Etienne doit démontrer pour justifier Viguard qu'il y a d'un côté les "entreprises sérieuses qui font de leur mieux" et les sales gamins d'un web libertaire et hackeurs dans l'âme.

Et pourtant le salut viendra sans doute de gens comme Guillermito qui exposeront à tous leurs travaux.

Lors du Symposium sur la Sécurité des Technologie de l’Information et des Communications qui s'ets tenu à Rennes, on a pu entendre "Kostya Kortchinsky, responsable du CERT Renater et expert reconnu, démontrer par le biais d’exemple concrets que malgré les efforts des éditeurs de logiciels à publier des correctifs de sécurité, il existera toujours un certain nombre de failles non résolues permettant d’attaquer des systèmes malgré tout un arsenal de contremesures, les « 0day exploits ». Un véritable marché parallèle concernant ces vulnérabilités s’est d’ailleurs développé dans les milieux souterrains et cybercriminels, chacune de ces failles sans correctif ayant une valeur estimée entre 10 et 50K$.

Ce constat vient corroborer la présentation Halvar Flake qui a mis au point une méthode de comparaison structurelle permettant notamment de trouver des failles de sécurité dans les correctifs mis au point quelques heures auparavant par les éditeurs de logiciels, et ce de manière quasi automatisée. On rentre ainsi dans un processus d’industrialisation de la découverte des failles informatiques qui ne laisse pas insensible."

bruno.kerouanton.net/pape...

D'ailleurs Guillermito faisait partie des invités, en tout cas dans la bouche de certains.
www.reseaux-telecoms.com/...

Enfin cette histoire de Fred Raynal qui me fait penser à quelqu'un, mais qui ??

"Il était une fois dans un pays imaginaire un bonhomme plutôt débrouillard et bricoleur.
Un jour, il se décida à mener une enquête sur la sécurité des machines à laver le linge.
Il découvrit que toutes les marques n'étaient pas égales, et que ce n'était pas les gros constructeurs qui s'en sortaient forcément le mieux.
Même si les résultats de ses explorations ne révélaient rien de critique pour son pays imaginaire, en revanche, les répercussions sur l'image des constructeurs concernés pouvaient être assez importantes : voir étalée sur la place publique une certaine incompétence (voire une incompétence certaine) n'est pas du meilleur effet quand on se livre une lutte acharnée pour gagner des parts de marché.

Voulant faire les choses dans les règles, notre aventurier décida de contacter les organismes en charge de la sécurité des cuisines (appelés COOC, Cuisine où l'Ordre et l'Organisation Cohabitent).
Malheureusement, tout le monde n'a pas sa machine à laver le linge dans sa cuisine. Du coup, certains membres des COOCs ne se sentent pas trop concernés.

Dans le même temps, des bruits ont atteint les oreilles de quelques constructeurs à propos des travaux de notre bonhomme.
Ils se mettent immédiatement en position offensive à son encontre afin de l'empêcher de révéler quoi que ce soit, ce qui fonctionne car notre aventurier n'est pas suffisamment téméraire pour prendre le risque de se voir arrêté par la Police Secrète, et ainsi éprouver l'arsenal juridique d'une loi nouvellement adoptée qui interdit la mise à disposition d'informations relatives à la sécurité des machines à laver.
Et il n'est pas ici question de contrefaçon de machine à laver.

Moralité ? Si tu veux éviter les crasses, ne lave pas ton linge sale en public.

Mais pour être plus constructif, on peut se demander comment remonter ces problèmes dans ce contexte : des lois incitant à la non-divulgation, des systèmes complexes qui touchent de nombreux intervenants (une machine à laver contient des tuyaux, un moteur, etc.), une pression économique importante, ...

Autrement dit, la politique de l'autruche et de la matraque a encore de beaux jours devant elle.

C'est sans aucun doute la solution de facilité, d'autant que c'est aussi celle qui coûte le moins cher (on conçoit trop vite les machines à laver, pressé par les impératifs de vente, et du coup, on n'est pas en mesure de réparer toutes celles déjà vendues).

Mais ceci n'est, bien sûr, qu'une fiction ...

Heureusement, chez nous, nous avons la chance d'avoir une super conférence, SSTIC (www.sstic.org) pour laquelle les inscriptions sont ouvertes jusqu'au 25 Mai. Et je ne peux imaginer qu'au pays des droits de l'Homme, une telle forme d'auto-censure puisse se développer ...

Fred Raynal "
Source : www.miscmag.com/articles/...

Tiens, on en revient à "l'imprimatur" d'Etienne

117. Le vendredi 1 juillet 2005 à 19:46 par Tweakie

> C'est ce que fait le professeur Filiol (il ne vient pas telcos lui, mais de l'armée) de façon scientifique www.mag-securs.com/article.php3?id_article=2183.

Je n'ai rien contre Filiol, mais le texte que vous citez est plus pedagogique que scientifique. Vous n'y trouverez pas un embryon de demonstration ou d'experimentation, juste du bon sens. D'ailleurs, si on peu appliquer une methodologie scientifique a la recherche de failles ou a l'analyse critique de logiciels, je n'irai pas - dans la tres grande majorite' des cas - a qualifier ces activites de "scientifiques". Il y a bien sur quelques exceptions (dans le domaine de la crypto, notamment).

> Votre condamnation doit faire évoluer les pratiques informatiques. C'est tout et c'est ainsi que fonctionne la société. Guillermito ne doit pas être un exemple à suivre.



Sur que ca va marcher. Dorenavant, les "simples particuliers" qui voudront faire connaitre les failles de tel ou tel logiciel prendront bien soin de rester anonymes. Youpi ! Une grande victoire pour la securite' informatique !

> Il n'a notamment pas démontré la possibilité de dupter un contrôleur d'intégratité comme l'aborde le professeur Filiol, qui est serait applicable à Viguard sous Windows XP.

Si. Justement. Z'auriez vraiment du lire son analyse. Le cas de la corruption des bases d'integrite', aborde' par Filiol, y est expose'. Same player play again. D'ailleurs, autre element justifiant la publication de ses PoC par Guillermito : le fait que le concepteur du logiciel (Eyal Dotan) ait affirme' que Viguard n'etait pas un simple controleur d'integrite', contrairement a Invircible, qui lui aurait servi de modele (entendu lors du proces Tegam vs. Guillermito - en reponse a une question du juge sur les similitudes entre Viguard et le produit de Zvi Netiv), mais qu'il permettait aussi de bloquer les actions malveillantes. Le probleme est juste que les versions analysees ne consideraient pas la modification de leurs bases d'integrite' comme des actions malveillantes. Too bad.

D'ailleurs, toutes ces failles ont ete discutees au sein d'un club de gentlemen. Sur fr.comp.securite.virus. Vous auriez du contribuer a l'epoque.

Une derniere chose : con-tre-fa-con. Concentrez vous sur ce mot. Relisez l'article 1383. Vous voyez le rapport ? Toujours pas ? Bravo : il n'y en a pas.

118. Le vendredi 1 juillet 2005 à 23:02 par papi russe

"1/ l'argent
2/ le sexe
3/ le goût du pouvoir
4/ l'égo démesuré"

5/ le chti canon

Enfant des bords de la Loire,
J' n'ai qu'un tout petit défaut,
C'est d'aimer chanter et boire
Ca n' nous fait ni froid ni chaud
Saint Etienne est mon patron
Et chacun dit sans façon:
A la tienne Etienne
A la tienne, mon vieux!

119. Le samedi 2 juillet 2005 à 00:28 par globo l'trobô

Etienne, vous dites encore: "c'est la publication inconsidérée qui est dangereuse, et à mon sens coupable au titre de l'Article 1383 "Chacun est responsable du dommage qu ’il a causé non
seulement par son fait, mais encore par sa négligence ou son imprudence".

Veuve Tarquine vous a déjà épinglé au moins 2x à ce sujet, nous sommes au *PENAL* et non au *CIVIL* Les articles du code civil n'ont rien à foutre ici. Vous comprenez la différence entre pénal et civil? Je ne vous en veux pas mais votre entêtement sur ce point devient pénible.

Je crois aussi vous avoir démontré que votre idée selon laquelle il y aurait de bonnes publications entre "experts" (quelque soit la signification que recouvre ce terme) et les autres est infondée au regard des textes de loi.

Amitiés etc.

Globo

Ps: j'ai encore entendu une personne de l'IUT aujourd'hui et les ingés telcos me font toujours venir la larme à l'oeil. Je suis navré que vous n'en soyez pas, vous m'étiez presque plus sympathique.

120. Le samedi 2 juillet 2005 à 01:37 par E.

Etienne :
>Dans votre cas, le point 4 est remarquable. Vous ne savez pas dire que vous êtes allé trop loin. Que dire de plus ?


Voala, quoi dire de plus : pouvez vous dévélopper votre pensée ?

ps. Je dis ça en passant, en craignant que vous vous fassiez passer pour un débile, tout à fait involontairement.

121. Le samedi 2 juillet 2005 à 15:29 par La loi du marché

"Ils se mettent immédiatement en position offensive à son encontre afin de l'empêcher de révéler quoi que ce soit, ce qui fonctionne"

Mais à quel prix ? étouffer l'information revient à forcer l'escarbot au silence.
www.contemania.com/fables...

122. Le dimanche 3 juillet 2005 à 11:00 par Roland Garcia

Dormez braves gens, Etienne veille sur vous:

Kostya Kortchinsky du Cert Renater: "Il faut plusieurs mois voire années pour voir des corrections à partir de la date d'envoi de la faille de sécurité à Microsoft."

Christian Harbulot de l'École De Guerre Économique: "Les gens se font duper ou sont les victimes de la désinformation et l'appareil juridique est peu opérant, lui-même victime"

www.reseaux-telecoms.com/...
www.hsc-news.com/archives...

123. Le lundi 4 juillet 2005 à 11:12 par Etienne

Cher globo l'trobô (décidémment, ils sont marrants vos pseudos - c'est toujours cela de bien),

J'avais noté que l'affaire avait été portée au pénal, merci de le rappeler. Mais dans l'un de mes billets ci-dessus, j'avais émis l'hypothèse que Tegam aurait peut-être mal formulé son attaque contre X et que d'autres voies pouvaient exister pour faire condamner une action "à la guillermito" (rien de personnel contre cet individu, prenons son exemple -déplorable- comme un cas générique).

Par exemple, par des actions au civil. Je n'ai pas reformulé cette hypothèse par la suite, d'où sans doute votre mauvaise interprétation -c'est peut-être de ma faute-. Donc, ma réflexion était de dire qu'une mise à disposition de codes, ensuite mal utilisée par des tiers, pouvait être un fait que l'on reproche à l'auteur au titre de l'article 1383 du code civil. Voilà. C'est un commentaire sur une affaire "à la guillermito" dans la rubrique "les demandes au civil". Suis-je si hors sujet et fais-je des effets de manche à la traquine (je ne l'a prendrais jamais comme avocate pour ma part, car affirmer que quelqu'un est sot sans argumenter est une preuve de manque d'esprit).

Nous sommes d'accord que la recherche est nécessaire, la publication des résultats également (mais faut-il que ce soit "à tous vents", je me permets de poser cette question). Mais cette publication ne peut-elle pas se retourner contre son auteur, au civil, si le code diffusé provoque des dégats ?

Moralité, il faudrait mieux travailler avec une recherche plus discrète (comme on pratique, n'en déplaisse à certains, dans des activités proches de l'informatique) ?

Si oui, alors le cas Guillermito aurait-il pu faire l'objet de telles plaintes au civil ? (ce que Tegam n'a peut-être pas su organiser ... Tegam n'est pas la perfection, qui n'existe pas en ce bas monde ...)

Quand à la défense du caractère scientifique des travaux de Guillermito, c'est vraiment à mourrir de rire. Un travail scientifique prend de la hauteur et établi des comparaisons plus larges. Pourquoi Guillermito a-t-il arrêté sa publication sur le seul cas de Viguard ? Curieux, non ? N'y avait-il pas matière à conclure de façon plus large et plus scientifique sur l'intérêt ou non d'une lutte anti-virale sur une base de contrôleur d'intégrité (Viguard étant un exemple pour le chercheur et non le centre du monde de Guillermito -qui ne s'est pas comporté en chercheur-) ? De telles conclusions eûent été beaucoup plus dignes d'intérêt que son "viguard est une daube", qui fait vraiment penser à un sâle môme qui veut régler ses comptes...

Voilà tout.

Bien à vous.

Tiens ? Il y a encore du monde sous ce billet ? Vous savez que j'en ai fait d'autres, depuis. Bon, rapidement, sur le point que je maîtrise : l'article 1383 du Code civil. Pourquoi TEGAM n'a pas poursuivi sur ce fondement ? Parce que les règles de la responsabilité civile exigent la réunion de trois éléments, que le demandeurs a la charge de prouver :
1- Une faute : selon vous, ce serait la publication des PoC. Le moins que l'on puisse dire est que ce n'est pas démontré, vu les réactions de vos lecteurs. Or tout doute jouera contre le demandeur.
2 - Un préjudice subi par TEGAM.
3 - Un lien de causalité entre la faute et le préjudice. C'est à dire que le préjudice doit avoir directement et de manière certaine causé le préjudice allégué. Or la perte de chiffre d'affaire de TEGAM ne me semble pas devoir être due à l'imprudence de Guillermito, celle ci fut-elle avérée. Y a-t-il eu un virus spécial anti viguard qui a utilisé les découvertes de Guillermito ? Pas à ma connaissance. Et la perte de réputation du produit ? Comment peut on, par imprudence, nuire à la réputation d'un produit ? En révélant imprudemment qu'il est loin d'avoir les performances qu'il prétend avoir (ce qui est vrai) ? Dire la vérité est-il une imprudence, ou une négligence, selon vous ?
Voilà pourquoi votre raisonnement juridique ne tient pas : l'absence de lien de causalité entre la faute supposée et le préjudice allégué, et voilà pourquoi TEGAM a attaqué par la seule voie qui lui permettait de toucher Guillermito : la contrefaçon, tout en basant sa com' sur "il a voulu nous nuire, il est méchant". Alors même que le tribunal a dit qu'il n'y avait pas intention de nuire, et par deux fois. Vous avez donné dans le panneau, semble-t-il.

Eolas

124. Le lundi 4 juillet 2005 à 16:16 par djehuti

> Nous sommes d'accord que la recherche est nécessaire, la publication des résultats également (mais faut-il que ce soit "à tous vents", je me permets de poser cette question).

et on fait quoi quand l'éditeur fait la sourde oreille ? rien ?

on révèle à tout le monde (même aux passagers) qu'un appareil présente une "faille" dans son livret de maintenance... ou on joue à "whisky romeo zulu" ?

Guillermito a fait les choses "dans les règles" et Tegam n'a rien voulu entendre... ben moi, je sais qui est le méchant dans l'histoire :-p

125. Le lundi 4 juillet 2005 à 17:51 par Etienne

Dans le cas de Tegam-Guillermito, il y a eu acharnement sur l'éditeur de façon manifeste. Si l'éditeur ne fait rien, on travaille au niveau des clubs d'utilisateurs (si on est un utilisateur légal, sinon on s'occupe de ses affaires), voire de la DGCCRF et autres moyens légaux.

On peut aussi faire une étude globale sur l'ensemble des produits mettant en avant les limites de certaines techniques.

Mais si on balance les codes à tous vents, qu'il y a des dégats et des plaintes (ce que Tegam n'a pas su faire remonter) d'utilisateurs car ils sont attaqués avec les codes diffusés, on engage sa responsabilité au civil et cela peut faire mal. Beaucoup plus que ce que Guillermito a pris pour le moment. Donc, on ne joue pas au "petit guillermito".

Désolé maître eolas, mais dans un cas pareil, si l'éditeur documente bien son affaire, l'article 1383 est une arme utilisable contre le diffuseur de codes, au civil. Cela, ni vous, ni vos confrères ne le nie. Vous dites seulement que dans l'affaire Guillermito, Tegam n'aurait pas eu d'éléments en ce sens. Le dossier était-il peut-être mal préparé, mais un autre dossier ? Le bidouilleur pouvait en prendre pour beaucoup plus, non ?

A suivre ...

"Dans le cas de Tegam-Guillermito, il y a eu acharnement sur l'éditeur de façon manifeste" : Non. Niet. No. Nein. Nee. 非. Je ne sais pas en quelle langue il faut vous le dire, mais le tribunal a jugé exactement le contraire. Sur l'arme de l'article 1383. Relisez mon commentaire précédent jusqu'à ce que vous le compreniez.

Eolas

126. Le lundi 4 juillet 2005 à 18:24 par Veuve Tarquine

(je ne l'a prendrais jamais comme avocate pour ma part, car affirmer que quelqu'un est sot sans argumenter est une preuve de manque d'esprit).
Et chacun de nous a pu mesurer ici combien vous étiez réceptif à une quelconque démonstration...
C'est-y pas mignon un troll qui trépigne...

127. Le lundi 4 juillet 2005 à 20:54 par djehuti

> Dans le cas de Tegam-Guillermito, il y a eu acharnement sur l'éditeur de façon manifeste.

marrant que tu vois ça dans ce sens, hein
pour moi c'est exactement le contraire (et Tegam avait bien plus de moyens et d'alliés que Guillermito pour causer du tor(t)/(d) )

les stratèges de la "guerre de l'information" se sont plantés* et (par orgueil ?) pas question de faire marche arrière et/ou de reconnaître la moindre erreur

la bouffonnade n'a que trop duré et il serait temps qu'ils rappellent leurs chiens *eg*


* et pas qu'avec Guillermito (mais également GoodLuck et quelques autres déclarations/publications)

128. Le mardi 5 juillet 2005 à 00:04 par E.

Etienne :
>Désolé maître eolas, mais dans un cas pareil, si l'éditeur documente bien son affaire, l'article 1383 est une arme utilisable contre le diffuseur de codes, au civil.

Attaquez donc Litec, ou Dalloz, ça diffuse des codes à tout va.

129. Le mardi 5 juillet 2005 à 00:47 par Roland Garcia

"Cela, ni vous, ni vos confrères ne le nie"

Euh, avez vous envisagé un petit arrêt soufflette.....dans le ballon cette fois?

130. Le mardi 5 juillet 2005 à 12:32 par Guignolito

@ Eolas : Moi, je crois que LTQPISLPE (le troll qui poste ici sous le pseudo "Etienne") ne sait pas lire.
Ou du moins, qu'il est affligé d'une sacrée cécité sélective quand il s'agit de lire les réponses argumentées à ses envolées juridiques, informatiques, lyriques, ou autres.

Il n'a pas lu tout ce qu'on lui a expliqué plus haut, notamment :
* pourquoi il se trompe sur l'article 1383
* pourquoi il n'y a pas intention de nuire
* pourquoi publier une faille sur le web est plus désirable pour la société que de la revendre un bon paquet de dollars au marché noir
* pourquoi les juges ne condamnent pas sur la base de principes moraux du genre "il faut lui filer une bonne volée de bois vert pour que d'autres zozos du même genre en prennent la graine"

Je crois que ça ne sert rien d'essayer d'argumenter avec lui. 130 commentaires, et on n'a pas avancé d'un pouce. :-(

Il n'y a pire sourd que celui qui ne veut pas entendre.

131. Le mardi 5 juillet 2005 à 14:30 par Jean-Pierre

eh, il y a un truc rigolo. Viguard peut se télécharger en version de démo utilisable 30 jours. C'est nouveau et c'est sur www.mag-securs.com (décidémment) :

www.mag-securs.com/articl...

Si Tegam avait proposé ça, Guillermito n'aurait pas eu une licence illégale. On progresse avec Softed ...

Bon, reste à voir si la v11 est bonne. Guillermito, tu en penses quoi, maintenant que tu peux prendre une version autorisée (si eolas confirme bien-sûr). La nouvelle version est-elle valable ?

132. Le mardi 5 juillet 2005 à 15:27 par groM

Cher Eolas, les protagonistes de l'affaire s'étant tout dit sur ycelle, et les commentaires tournant en rond depuis bien une cinquantaine de commentaires, ne serait-il pas possible de bloquer les follow-ups sur cet article, de manière à ce mon flux RSS (et celui des myriades de lecteurs assidus de votre blog) arrête de prendre une épaisseur grasse alléchante - mais bien trompeuse - quand un message arrive sur ce thème ?

Merci d'avance pour mon majeur, fatigué de presser compulsivement la touche "Suppr".

133. Le mardi 5 juillet 2005 à 16:36 par Guignolito

J'approuve la proposition de groM. Ca fait un moment que ça me gonfle et que le troll est plus drôle du tout. C'est même un miracle qu'on n'ait pas atteint le point Godwin en + de 100 commentaires sur un sujet aussi polémique. Alléluia !

134. Le mardi 5 juillet 2005 à 17:14 par Eolas

Allez, on ferme !