Malheureusement Maitre Eolas est arrivé un peu tardivement, et n’a pu entendre la plaidoirie de la partie civile. Quand à Veuve Tarquine, elle résume bien rapidemment la partie qui m’a intéressée.

Considérations juridiques pour informaticiens...

... mais si un juriste me comprends, qu’il me tape dessus s’il trouve que sa matière ne repose pas quelquefois sur une logique floue...

L’avocat de la partie civile voit trois manière par lesquelles Guillermito aurait réalisé des contrefaçons du logiciel Tegam.

  1. La licence de Guillermito n’était pas en règle. Ce qu’il réfute, ayant obtenu celle-ci d’un acheteur mécontent. Il proposait de donner le numéro de licence comme preuve de sa bonne foi, mais on ne lui a même pas demandé. Tegam lui a retorqué que la licence d’utilisation n’était pas cessible. De toute évidence, il convient de rappeler que la plainte pour motif de recel de contrefaçon (autrement dit, pour utilisation de ViGuard sans licence) a été classée sans suite, mais il demeure que s’il n’avait pas de licence, il n’avait théoriquement pas non plus le droit d’étudier le fonctionnement du logiciel, ce qui constitue bien contrefaçon (si j’ai bien compris la loi).

  2. Guillermito a désassemblé le logiciel : L122-6 et L122-6-1. Et là, d’une part le droit est flou, et d’autre part, jamais cette loi n’est passée devant un tribunal. D’un côté, il est permis d’étudier le fonctionnement du logiciel, et de l’autre, « la traduction de la forme de ce code » est interdite sauf pour interopérabilité. Cela interdit la décompilation, quid du désassemblage ? C’est curieux comme loi. Interprétée à ma sauce, cela interdit la décompilation. Mais devient douteux pour le désassemblage. Et autorise l’utilisation d’un debugger sur le programme chargé, car comment étudier le fonctionnement du logiciel en détails, et vérifier son bon fonctionnement sans cela ? Comme je l’indiquais précedemment, les bonnes questions et les bons liens se trouvent chez Lunar. Est-ce que Guillermito se livrait à de la « traduction de la forme du code » ? Non, car il n’a jamais tenté de traduitre le binaire de Tegam en code source haut niveau. Non, car il n’a pas changé le langage, se contentant d’utiliser les sorties du debugger. Oui, car un debugger affiche de manière humainement lisible le code du logiciel au fur et a mesure de l’exécution. Non, car debugger sert à regarder comment fonctionne le logiciel, ce qui est autorisé. Non, car il étudie les instructions du logiciel en mémoire une fois celui-ci chargé, et non le logiciel en tant que tel. Non, car étudier la sécurité d’un logiciel vis-a-vis de virus externes, c’est assurer son interopérabilité. C’est à cette question que les juges devront répondre... tout en s’appuyant sur l’avis d’un expert qui ne s’est pas présenté au tribunal. Or si un expert à été nommé c’est bien parce que les juges ne comprennent pas du tout de quoi il ressort.

    Sans parler des autres interrogations de cette loi : si un logiciel (libre ou non) est fourni avec le code source, comment s’applique cette loi ? Et pour le bytecode Java, comment cela se passe ? Et la faute à qui, si la loi est floue ? A l’Europe qui vote des lois contradictoires ? Aux députés Français qui ont fait de même ? A l’informatique qui évolue sans cesse ? En attendant, dans toute l’Europe et aux US, des milliers d’expert en sécurité continuent d’utiliser des debuggers sur des logiciels qui ne sont pas les leurs. Y compris Eyal Dotan, programmeur à l’origine de ViGuard, il suffit de voir les slides d’une présentation qu’il a donné : http://www.blackhat.com/presentatio....

  3. Guillermito a distribué des logiciels permettant de « désassembler ViGuard » (sic) et des morceaux de ViGuard. Là, tout informaticien fait un bond. D’une part, distribuer un désassembleur, cela n’a rien de condamnable (j’ai même participé à un vieux projet scolaire de désassembleur). Il fallait comprendre un logiciel permettant de décrypter certains fichiers de ViGuard, par un simple XOR, un des cryptage les plus simples et moins fiables qui soit. Que dit la loi à ce sujet ? A ma connaissance rien, donc c’est autorisé. D’autre part, quelle est cette histoire de redistribution de bouts de code de Viguard ? Guillermito a recopié la clef du cryptage XOR. Qu’il aurait même pu obtenir autrement que par l’utilisation du debugger, vu la simplicité du cryptage. Or une telle plainte est aussi ridicule que le type de cryptage ; la clef, c’est quelques octets seulement, et l’élément central de ce logiciel. L’EUCD n’étant pas encore votée, il n’y avait pas de mal à diffuser cette clef, et même avec une telle loi, je ne suis pas certain que cela soit illicite. Cela peut même, comme l’a dit l’avocat de Guillermito, rentrer dans le cadre de la loi sur le droit de citation. Mais est ce que le droit de citation peut s’appliquer aux logiciels ? Je dirais, a priori, que oui.

Les implications

Bref, avec tout ça, au vu de la loi (où je suis pas compétant) et de mes connaissances informatiques (là ca va mieux), j’en dit que tout simplement les juges, s’ils comprennent bien de quoi on parle, auront tout simplement à décider comment doivent se comprendre, et donc s’appliquer, certains textes de lois.

C’est aux gens de se conformer aux lois de la République, et non l’inverse, si on suit le procureur. Or, il apparait que le monde de la sécurité informatique se comporte constamment comme Guillermito. Si on devait juger en définitive Guillermito coupable pour les points 2 et/ou 3, et c’est ma grande crainte, alors c’est tout le monde de la sécurité informatique qui pourrait être condamné. On interdirait alors aux consommateurs de vérifier le bon fonctionnement des logiciels, et notamment l’absence de problèmes de sécurité. Cela créerait un dangereux précédant juridique signifiant l’interdiction de la recherche des failles telle que procédé actuellement. C’est pourtant un processus très sain que de pouvoir étudier le fonctionnement des logiciels.

Utiliser un debugger permet de découvrir (plus facilement) le fonctionnement d’un logiciel. Cela facilite le travail de recherche sur les faiblesses d’un logiciel. Evidemment, les pirates qui voudraient contourner ViGuard ne se seraient pas génés non plus pour utiliser un debugger. Ils ne sont pas plus bêtes que Guillermito, et savent parfaitement que la promesse de ViGuard (arrêter tous les virus, connus où inconnus) relève de la poudre verte de perlinpinpin sous Windows 95 et 98, du fait de l’absence de « mémoire protégée ».

Interdire l’utilisation d’un debugger permettrai donc à Tegam de se protéger contre les gens qui démontrent les faiblesses de son produit, et les mensonges de sa publicité. Si personne ne peut voir que leur outil n’est pas sérieux, la loi est dans leur camp. S’il n’y avait pas eu Guillermito, il y aurait eu quelqu’un d’autre. Peut-être même quelqu’un de mal intentionné. Or il apparait que généralement lorsqu’un expert pointe les défauts d’un logiciel, l’éditeur ne lui reproche rien, et quelque fois le remercie. Dans le cas de Tegam, le procès a lui tout seul prouve le manque de sérieux du logiciel, puisque l’étude sur les limites de leurs technologies réalisée par Guillermito, gratuitement, aurait pu être l’occasion de corriger les erreurs, avant qu’un pirate ne s’en apercoive, et donc avant des dégats. Mais cela aurait nécessité la diffusion d’une mise a jour, donc inacceptable pour leur politique marketing. Bien que ces erreurs aient été corrigés dans les versions actuelles de ViGuard.

Les pratiques de tous les chercheurs en sécurité sont celles de Guillermito. En effet, la révélation de failles de sécurité, de manière plus ou moins détaillée, cela se fait tous les jours, en particulier sur la liste bugtraq à laquelle sont abonnés toutes les personnes s’intéressant à la sécurité informatique. Microsoft accepte fort bien ce jeu, même si ils y perdent souvent. Pour ses compétences dans son domaine d’activité, Tegam aurait même pu embaucher Guillermito, ca aurait amélioré le produit.

Mais en réalité, cela va au-delà. Une comparaison avec la vie courante. Si demain un fabricant de serrures se mettait à vendre une nouvelle serrure "inviolable", et que quelqu’un expliquait clairement, preuves à l’appui, que cette serrure ne tiens pas plus de 3 secondes quand un cambrioleur l’étudie un peu, que dirions-nous si on condamnait non pas le fabricant de serrures pour publicité mensongère, mais la personne qui prévient qu’il y a problème, sous prétexte qu’il n’avait pas le droit d’étudier la fiabilité de la serrure, ou de le prouver ?

Je note également de ce procès les paradoxes du procureur :
-  on ne peut étudier la sécurité d’un logiciel, sauf éventuellement dans le cas extrème où l’on est journaliste : vu le niveau de la presse informatique Française, cela ne risque pas d’arriver. De plus les résultats de Guillermito ont été publiés dans un journal.
-  puisque Guillermito a tellement de connaissances virales, pourquoi ne pas développer lui-même son antivirus (il a pourtant déjà un métier) ? Curieusement, Tegam s’est plaint que des professionnel de la concurrence critiquent son logiciel. Au contraire, le fait que Guillermito ne travaille pas pour la concurrence est a son avantage.
-  pourquoi ne pas avoir fait appel aux associations de consommateurs ? simplement parce que ces dernières n’ont jamais été intéressés par des affaires touchant de trop près à l’informatique.

En attendant, j’ai retourné dans plusieurs sens ce procès dans ma tête. Difficile de prévoir quelle en sera l’issue. L’expert, qui n’a qu’une valeur consultative, mais qui est probablement le seul à comprendre les faits, semble avoir jugé qu’il s’agissait bien de contrefaçon. Mais un expert juridique n’a qu’un rôle consultatif, ce n’est pas à lui de juger en regard de la loi. Je n’ai pas lu son rapport, mais il semble laconique, et son absence au le jour du procès, malgré convocation, semble aller dans le sens d’un manque de fiabilité de ses analyses. Cela pourrait-il être profitable à Guillermito, et surtout au « full disclosure » et à la sécurité informatique en général ? Je serais bien curieux de savoir ce que dit ce rapport à vrai dire, mais il n’est pas public. Mais de toute évidence, que Guillermito soit condamné ou non pour les points 2 et 3, ce ne sera que deux interpretations différentes des lois de la République... Et tant d’autres éléments que je ne connais guère se trouvent dans les conclusions qu’ont remis les deux parties au juge...

PS. En parlant de serrures, je n'ai pas entendu parler de poursuites pour l'auteur de cette vidéo.