Le trolleur déchaîné

C'est pratique d'arriver après la tempête, il n'y a plus qu'à linker les choses intéressantes qui se sont dites. Donc :

• Eolas publie l'arrêt de la cour d'appel, et met en avant quelques perles.
• Laurent GUERBY m'évite un commentaire chez Eolas en postant exactement ce que j'en pense, moi aussi.
• Et chez Kitetoa ce que ce jugement implique finalement pour la sécurité du consommateur moyen, et le rapport de l'expert de Guillermito, qui contient quelques perles : Sachant que le programme de Guillermito ne dispose d'aucune fonctionnalité, il ne peut en aucun cas être assimilé au logiciel ViGuard, à moins que ce dernier ne dispose également d'aucune fonctionnalité.

Believe it or not, but I am afraid of money and what it can do to people, including myself. (Guillermito)

On trouve si facilement des illustrations du pouvoir néfaste de l'argent dans la chronologie de cette affaire. Vous aussi, débarassez-vous de cet argent qui vous rends potentiellement dangereux, transformez-le en hologrammes pour Guillermito ! C'est marrant, j'ai l'impression de citer un chef de meute gourou de secte.

Le Guillermithon sera bien utile pour permettre à Guillaume de se payer quelques T-shirts (pour une fois qu'un geek a du goût et ne prends pas le jaune). Ou un nouvel antivirus qui ne présenterait pas de failles, ça ne lui réussit pas d'aller déboguer les anti-virus lui-même (pourtant j'en connais un sous licence GPL, et même des OS moins sensibles à ces bêtes). Je rajouterais volontiers une bouteille de rhum, afin d'aider Guillermito à cliquer sur 'accept', mais j'ai un peu peur qu'envoyer de l'alcool éthylique en solution buvable dans un hôpital américain ne soit pas une bonne idée.

Je n'étais pas au procès en appel de Guillermito le 29 novembre, je n'ai pu que profiter des comptes-rendu des gens présents. J'imagine que ceux que cela intéresse auront trouvé ces même compte-rendu, mais juste au cas où (et puis aussi égoïstement pour garder ces liens bien au chaud), voici les liens kivonbien. A lire les comptes-rendus, cela s'annonce mieux pour Guillermito, mais ça ne veux toujours pas dire "relaxe". Réponse au 21 février.

• Palpatine vous fait le compte-rendu de ce qui s'est dit vu par un geek, c'est assez proche de ce que j'aurai pu écrire. Et qui essaye de vulgariser le fonctionnement d'un programme, puisque c'est de ça dont il est question.
• Eolas nous livre donc un compte-rendu précis de juriste
  • Affaire Guillermito : délibéré au 21 février 2006
  • Affaire Guillermito : le compte rendu de l'audience d'appel (première partie)
  • Affaire Guillermito : le compte rendu de l'audience d'appel (deuxième partie)
  • Obiter dictum sur l'affaire Guillermito : quid de la publicité mensongère ?
• Un version plus informelle chez Tarquine
• Les réflexions de Kitetoa, qui grâce à une parenthèse me permettent même d'être assez positif quand à l'avenir du full disclosure en France, si l'autre chose n'est pas votée : Maître Bensoussan ne s'étant pas déplacé pour une raison qui ne m'échappe pas, mais je suis mauvaise langue.... Mais je suis mauvaise langue pour répéter ça aussi, qu'est ce que j'en sais de l'agenda de maître Bensoussan ?

Il y a quelques temps la blogosphère débattait sur les expatriés. J'étais alors justement en plein en train de quitter la France. Le débat était remplis de clichés, et puis ne sachant même pas si j'étais expatrié ou pas, je me suis bien gardé de troller m'intéresser à ce débat.

En effet, il faut l'avouer, j'ai du mal à savoir si je suis expatrié : Bruxelles est à 1h25 min de Paris par TGV (pardon, de Thalys dira le service commercial de la SNCF, celui-là même qui nous a pondu le corail téoz), donc plus proche de Paris que Lyon, Marseille, Nice, Bordeaux, Strasbourg, Rennes, et bien des villes bien françaises. On parle Français à Bruxelles (certes on confonds savoir et pouvoir, on dit septante et nonante -ce qui soit dit en passant est plus logique- et on a quelques mots de vocabulaires bien particuliers), les formalités d'émigrations sont simples pour les européens, je travaille entouré de Français. Je n'ai pas les cheveux bleux, je ne suis pas parti à Pékin après avoir connu le Texas, mais je me demande quelquefois si je ne suis pas fou. Bruxelles me fait penser à Strasbourg, les Belges me semblent plus proches des Alsaciens que des Parisiens (je suis pas né parisien). Certes, physiquement je suis en Belgique, j'ai ouvert un compte dans une banque belge, je suis un étranger, mais... non, quelque chose coince. Simplement, j'emmerde la notion de Patrie. Je pourrais dire comme l'excellent billet de Karl : Je ne suis pas un expatrié, car pour cela il faudrait avoir une patrie. Merci, Karl, grâce à toi je me reconnais moi aussi en tant qu'appatride. Et fier de l'être.

L'appel interjeté par Guillermito concernant une certaine affaire avec un éditeur d'antivirus sera examiné le mardi 29 novembre 2005 à 13h30 (via Maître Eolas, qui ne pourra être présent). Et j'hésite franchement à prendre un jour de congé et à faire l'aller-retour dans la capitale de ce qui devrait être ma patrie dans la journée... Non, définitivement, je ne suis pas un expatrié : cela se passerait (outre une éventuelle barrière linguistique) a Amsterdam, Luxembourg ou Aix-la-Chapelle, je me poserais la même question.

Ceux qui suivent un peu l'Affaire Guillermito savent que Guillermito n'est pas le seul fâché avec Tegam.

En l'occurence, concernant l'halucinante lettre de dénonciation que Tegam avait envoyé au CNRS, employeur de Guillermito et de Roland Garcia (lui aussi habitué de fr.comp.securite.virus) pour dénoncer ces 2 terroristes virtuels, les concernés ont réagit de différentes manières : Guillermito, peu procédurier, a utilisé l'humour. Roland Garcia a discrètement porté plainte. Et le tribunal de Toulouse viens de rendre son jugement, et de condamner la SARL Tegam International, pour diffamation (Kitetoa publie même une copie du jugement).

Quand on sait que Tegam accusait Roland Garcia et Guillermito de diffamation, on ne peut s'empêcher de sourire un peu : C'est celui qui le dit qui l'est comme on disait dans les cours de récré. Mais quand on se dit que si Guillermito avait lui aussi porté plainte, il aurait logiquement gagné aussi ce procès (et je ne parle même pas des accusations de terrorisme ; il a un bon alibi pour jeudi matin), et que cela aurait même pu éviter la plainte pour contrefaçon qui fait si mal, alors qu'il est si évident que Tegam cherchait juste a faire taire des critiques...

Update : On me fait remarquer que je ne suis pas précis. C'est vrai aussi :

• Il ne s'agit pas d'un plainte pour diffamation (pénal), mais d'une plainte au civil. Mais même si ca ne correspond pas à la définition juridique, ca correspond bien à la définition usuelle de la diffamation, non ? De toute façon, pour du précis juridique, allez voir chez Veuve Tarquine. Moi je suis informaticien, pas juriste.
• Roland Garcia n'a pas porté plainte. Il est quand même allé voir la justice, mais il semblerait qu'on ne dise pas porter plainte pour le civil.
• Roland Garcia n'a fait que publier des articles dans la revue Sécurité Informatique du CNRS. Mais il n'est pas employé du CNRS pour autant.
• Guillermito n'était pas non plus employé du CNRS. Mais il a fait sa thèse dans un labo mixte INRA / CNRS / Agro Montpellier.

Un jour (peut-être) je comprendrais quelque chose au droit.

C'est marrant d'assister à une audience au palais de justice, on découvre comment fonctionne la justice de l'intérieur. C'est toujours mieux d'aller au palais de justice en tant que touriste que de tout découvrir la première fois sur le banc des accusés, non ? Et du coup, on a pas peur de revenir sur place, comme pour aller obtenir soi-même les résultats d'un délibéré. Le blogueur que je suis finit même par se prendre pour un journaliste.

J'ai donc voulu obtenir le délibéré sur les intérêts civils (après prolongation), a propos de la déjà célèbre Affaire Guillermito, profitant de la pause déjeuner (je travaille pas trop loin du palais de justice). Je ne me suis pas trop pressé non plus, et je suis arrivé un peu juste pour le passage aux rayons X. Sauf que : priorité à ceux munis d'une convocation, et les autres, vous faites la file avec les milliers de touristes venus visiter la Sainte Chapelle. Et me voila coincé une bonne demi-heure (au moins) à l'entrée du palais de justice. Et bien évidemment, quand j'arrive à la 31ième chambre, il est trop tard : ça parle d'une histoire d'arnaque à la téléphonie mobile, ou quelque chose dans le genre. Tant pis, de toute évidence, Maitre Eolas et Guillermito viennent de publier ce qui m'intéressait : 14300 Euros de dommages et intérêts, donc 1000 Euros en frais d'avocats (je parierai volontiers que l'avocat de Tegam a coûté bien plus cher que ces 1000 Euros). C'est peu par rapport à ce qui était demandé, mais cela fait tout de même une petite somme pour celui qui a prévenu le consommateur de risques potentiels avec ce logiciel, et a même permis a Tegam d'améliorer le produit en corrigeant ces failles. C'est quand même incroyable ; comment le consommateur peut-il se défendre, si ceux qui critiquent utilement se font condamner ?

Mais puisque Guillermito a fait appel au pénal, il y a contradiction entre l'appel au pénal et le jugement civil, donc logiquement Guillermito devrait faire appel de cette décision. Encore faut-il savoir si en cas de condamnation en appel au pénal, ce jugement civil compte, ou s'il faut aussi juger à nouveau la partie civile. Ya-t'il un juriste dans la salle ? Maître Eolas ?

Plutôt que de refaire encore une énième critique des méthodes commerciales des vendeurs de ViGuard (que ce soit Tegam, Dodata ou Softed, peu importe, ce sont les mêmes personnes derrières). Il fait beau, je vais pas continuer à me laisser pourrir la vie par des trolls peu discrets. Je vais donc me lâcher sur les touristes, je l'ai pas encore fait auparavant.

Les touristes, de nombreux anglophones notamment, qui attendaient pour visiter le palais de justice, et la Sainte Chapelle en particulier, avaient souvent entre leurs mains un guide du routard ou autre livre dans le genre. Ceux qui habitent Paris ne savent en général même pas que le palais de justice contient une merveille. D'ailleurs, ca fait quelques années que j'habite sur Paris, je n'y ai pas encore mis les pieds. Pourquoi irai-je donc à Berlin, Venise, ou toutre autre ville visiter des lieux qui n'intéressent pas les autochtones, et souvent en ne sachant pas moi-même où je vis ? Combien de parisiens ne sont jamais aller voir cette Sainte Chapelle mais iront dépenser leur argent dans un billet d'avion vers une autre ville, juste dans le but de faire ce que propose le guide du routard ? Mystérieux paradoxe que je ne m'explique pas. Le voyage, serait-ce rapporter de belles photos loins de chez soi, en oubliant les merveilles autour de soi ? Ca me laisse assez perplexe.

J'ai même une magnifique illustration : l'autre jour je suis passé devant le Starbucks de Châtelet-Les Halles, et là j'entends (en Allemand), un touriste, désignant la multinationale du café pas bon, demander à son compagnon : qu'est ce qu'il y a là ? Il y a pourtant quelques-uns de leurs établissements en Allemagne. Il est même probable qu'ils aient déjà éte à Londres ou aux US où ces établissements fleurissent, mais qu'ils y ai loupé ces établissements (ben oui, mine de rien, ca fait partie des choses potentiellement visitables la-bas, il vaux mieux y avoir été au moins une fois pour savoir de quoi on parle). Venir en France et ne pas connaître Starbucks n'est pas si grave dans l'absolu, mais on ne m'enlèvera pas de l'idée que la culture ne se limite pas à faire le tour des monuments ; venir à Paris une semaine et repartir après avoir vu la Tour Eiffel, la Tour Montparnasse et la Sainte Chapelle, ce n'est pas connaître Paris.

D'ailleurs, à l'occasion, avant de quitter Paris, je me demande si je devrais pas aller visiter la Sainte Chapelle, il est fort probable que je passe à côté de quelque chose, sinon comment expliquer tous ces touristes venus affronter la file à l'entrée ?
C'étaient peut-être des consommateurs mécontents de ViGuard venus visiter le lieu mythique où Guillermito a été condamné ? :-)

Tegam est en liquidation judiciaire, mais la technologie ViGuard n’est pas à l’abandon pour autant. Pas de logiciel libre en vue donc 

C’est DODATA qui reprends le bébé :

La nouvelle version de ViGUARD paraîtra dans quelques jours, et aucun changement dans la politique marketing, commerciale ou même dans la singularité de la protection apportée n’est prévue.

C’est moi qui souligne... Autant dire, qu’ils vont continuer à faire de grosses erreurs.

Face à la toute récente cessation d’activité de Tegam, Eyal Dotan, créateur de ViGUARD réorganise les pôles de commercialisation et de recherche et développement.

Tiens, une mise en liquidation judiciaire qui est en réalité une réorganisation ?

Le pôle Recherche et Développement s’effectue comme auparavant au sein de la société Softed, dirigée par Eyal Dotan

Tiens, le commentateur anonyme du Capitaine ne s’était pas trompé non plus, c’est bien une société du nom de Softed dont les dirigeants sont les même qui va récupérer l’activité. Une manoeuvre pour accabler Guillermito et ressortir le bidule sous une autre marque ?

(info via la liste de diffusion du Virus Informatique et Olivier Aïchelbaum).

Update : Et bien sûr, on reste dans la famille, DoData appartient à Annie Dotan. Lisez cette note sur le blog d’un journaliste du Monde Informatique.

Tegam, la société qui a attaqué Guillermito est en liquidation judiciaire ! Renseignement trouvé sur société.com via Guillermito, qui a peur que cela soit encore une fois de sa faute. Mais non Guillermito, si Tegam s’est grillée (dans l’ordre), d’usenet-fr, du monde de la sécurité informatique et de la blogosphère , ce n’est pas de ta faute. Ils ne savaient pas communiquer, et puis voilà.

Mais voilà, faire appel, même pour éclaircir le motif d’une condamnation coûte cher, et Guillermito n’a plus de fonds. Pas encore de Paypal (“Rien que d’y penser, j’en transpire de honte.”, pourtant ce procès concerne aussi la défense du full disclosure, et étant d’intérêt général cela nous concerne tous ; pourquoi Guillermito devrait-il être le seul à payer ?), mais en attendant j’ai acheté Guillermithon.org, et je compte bien y mettre un wiki dans les heures qui suivent. A défaut de paypal, on doit bien pouvoir trouver quelque chose ! Ce serait dommage que Guillermito doivent se séparer de ses collections dont il sait parler avec tant d’émerveillement !

Et puis, Tegam ou pas, je ne vais pas changer mon discours : si Tegam met la clef à la porte, c’est la fin de la technologie Viguard, du support, et des mises à jours... D’où la supériorité du logiciel libre sur le logiciel propriétaire, qui ne dépends pas d’un éditeur ! Pourquoi ne pas, comme cela s’est déjà fait pour d’autres entreprises en dépôt de bilan, proposer le logiciel sous licence libre ? Cela pourrait intéresser du monde. Si, si, je suis sérieux, l’expérience des utilisateurs montrait que le logiciel se débrouillait pas si mal que ça pour protéger les machines.

Edit : ah ben non, finalement, pas de wiki, vu la taille de certains threads sur usenet, ce serait jouer avec le feu et passer son temps à faire le ménage après le passage de quelque troll destructeur. Il y a quand même un redirect sur Guillermithon.org vers le principal intéressé, et si vous avez une bonne idée sur pour aider le principal intéressé à payer ses frais d’avocats et l’aider aussi moralement, ou toute autre chose pour soutenir la pratique du full disclosure, je suis preneur. Du saucisson ? Si quelqu’un désire utiliser ce domaine à bon escient, pas de problème pour le transfert (et je peux même assurer l’hébergement s’il faut).

J’avais cru lire (ou deviner ?) que Guillermito ne ferait pas appel. C’était sans compter sur Maître Eolas, qui est allé vérifié au palais de justice (mais il triche, en tant qu’avocat, il savait parfaitement comment faire ) : Guillermito a fait appel.

Guillermito ne se contente donc pas d’une décision de justice, qui bien que le condamnant sans conséquences, n’explicite pas clairement les motifs (et du coup, le statut du full disclosure est peut-être encore plus fou qu’auparavant). Un jugement étonnemment court, pour une telle affaire, et qui se repose en grande partie sur le rapport d’un expert qui ne s’est même pas présenté le jour de l’audience, et avec lequel il n’a donc pas été possible de discuter. Pourtant, ce rapport lui-même est assez criticable (cf. les analyses de Kitetoa de ce rapport que je partage aussi). Ce sont des très bonnes raisons pour faire appel, même si, comme on pouvait s’y attendre, le parquet a fait appel en réponse (le jugement était très clément par rapport à la demande du procureur), et que Guillermito risque donc une condamnation plus forte. C’est donc courageux de sa part.

Et nous voilà repartis : à nouveau, la justice aura à se prononcer sur le full disclosure, ce serait tout de même étonnant qu’elle arrive à tourner autour du pot une deuxième fois dans la même affaire.

Maître Eolas (encore lui !) a publié dans son blog le texte du jugement de Guillermito. Je trouve tout cela étonnament court, vu les questions que je me posais à la suite du procès. Et surtout, je ne trouve pas cela clair du tout.

On peut interpréter cette condamnation de différentes manières. Comme le disait très justement Eolas dans un commentaire à sa note annonçant la condamnation :

Question de point de vue : pour TEGAM, c’est le procès de quelqu’un ayant mensongèrement dénigré leur produit ; du point de vue des informaticiens, c’est la prohibition du full disclosure ; du point de vue de la justice, c’est une simple contrefaçon de logiciel.

C’est très exactement ça. On peut trouver ces 3 points de vues dans le jugement. La bonne nouvelle, c’est que cela n’est pas une simple interdiction de distribuer des exploit et autres proof of concept (le jugement rentre peu dans les détails à ce sujet). Ce n’est pas non plus des suites des dénigrements, puisque les poursuites pour diffamation ont été abandonnées. Ni une condamnation au motif unique qu’il n’avait pas acquis une licence valable du logiciel...

Un jugement où chacun y verra ce qu’il veux bien y voir finalement. Mais celui-ci ne répondant pas vraiment aux interrogations légales que soulèvent la recherche de failles de sécurité abordés dans ce dossier, ce procès n’a finalement pas été celui du full disclosure.

Selon le blog d’Eolas, Guillermito a été condamné, mais très légèrement : « c’est une relaxe Canada Dry : ça en a le goût et la couleur, mais ça n’en est pas une ». 5000 Euros d’amende avec surcis, pas d’inscription au casier judiciaire.

En attendant le texte définitif du jugement, la note d’Eolas se base sur une lecture sans prise de notes d’une version préliminaire du jugement qu’il a pu voir. Aussi, vais-je éviter de faire trop de commentaires à ce sujet. Il semblerait néanmoins si j’en juge à ces premières remarques, que le tribunal ait surtout retenu que Guillermito n’avait pas de licence, et que finalement il reste permis de faire de la recherche et de la divulgation de failles dès lors qu’on possède une licence en règle (le problème de la licence se porte plus sur la validité de celle-ci, puisque Guillermito avait reçu une licence d’un utilisateur mécontent).

J’ai tout de même noté que la condamnation, si Maître Eolas n’a rien déformé, porte également sur la reproduction de parties du code source de Viguard, ce qui est absurde, Guillermito n’ayant pas accès au code source. Mais je disais que j’évitais de trop rentrer dans les détails à ce sujet pour le moment.

Ne pas oublier également qu’il reste à juger les intérêts civils, Tegam réclame 900 000 € (mais c’est une pratique courante de demander beaucoup) ce qui se fera le 12 avril prochain, sauf appel de la part de Guillermito. Une licence du détecteur d’intégrité qui se veux antivirus coûte moins de 150 Euros, vu l’analyse de la version de travail du jugement faite par Eolas, il serait malvenu d’en demander plus.

Et tout ça, pour avoir démontré par A+B que Viguard était un très mauvais produit. Comme je l’ai déjà dit, un éditeur de logiciel plus honnête aurait remercié Guillermito. Mais vu les relations dangereuses de cet éditeur, et ses pratiques douteuses, c’est à se demander comment on peut en arriver là. Je sens déjà comment Tegam va affirmer que Guillermito à été condamné dans ses prochaines publicités, et faire la fière. Ca les enfoncera une fois de plus, en tant que client potentiel, je regarde les qualités d’un logiciel, pas le travail de ses avocats. Après tout, ce procès n’est que la preuve que Tegam ne sait pas gérer son image. Maintenant tout le monde sait que Viguard est une daube ! Dommage que ce sera probablement encore Guillermito qui fera les frais des conclusions faussés que certains vont tirer d’une « relaxe Canada Dry ».

Au fait, je vous ait déjà dit que Viguard est une daube ? C’est marrant, j’ai presque envie de lancer une google bomb ! Qu’est ce qu’on peut risquer à jouer à ça avec des gens procéduriés n’ayant aucun sens de l’humour ?

Update : Voici la dépêche AFP à ce sujet : http://www.tv5.org/TV5Site/info/afp.... L’AFP retient comme motif de la condamnation 2 faits : la licence douteuse, et la distribution du POC ; l’AFP cite le jugement : "Il a effectivement reproduit, modifié et rassemblé tout ou partie du logiciel Viguard puis procédé à la distribution gratuite de logiciels tirés des sources du Viguard". Je ne suis pas du tout en accord avec cette vision des faits, et si d’aventure d’autres POC ou exploit étaient qualifiés ainsi, cela créé un dangereux précédant juridique. Il faudrait par exemple condamner toutes les personnes qui postent sur la liste bugtraq, destinée à la sécurité informatique. Cette impossibilité de publication serait alors la porte ouverte à la vente de mauvais logiciels... sans que personne ne puisse prévenir le consommateur (ou les entreprises qui auront choisi de faire confiance à tel ou tel éditeur). Imaginez un peu : Microsoft pourrait mettre une backdoor qui lui donne accès au contenu de votre disque dur, et celui qui nous préviendra pourait être poursuivi en justice.

N’oubliez pas non plus d’aller voir les Petites réflexions à 2 cents d’euro sur le résultat du procès Tegam versus Guillermito sur le site Kitetoa.

Malheureusement Maitre Eolas est arrivé un peu tardivement, et n’a pu entendre la plaidoirie de la partie civile. Quand à Veuve Tarquine, elle résume bien rapidemment la partie qui m’a intéressée.

Considérations juridiques pour informaticiens...

... mais si un juriste me comprends, qu’il me tape dessus s’il trouve que sa matière ne repose pas quelquefois sur une logique floue...

L’avocat de la partie civile voit trois manière par lesquelles Guillermito aurait réalisé des contrefaçons du logiciel Tegam.

1. La licence de Guillermito n’était pas en règle. Ce qu’il réfute, ayant obtenu celle-ci d’un acheteur mécontent. Il proposait de donner le numéro de licence comme preuve de sa bonne foi, mais on ne lui a même pas demandé. Tegam lui a retorqué que la licence d’utilisation n’était pas cessible. De toute évidence, il convient de rappeler que la plainte pour motif de recel de contrefaçon (autrement dit, pour utilisation de ViGuard sans licence) a été classée sans suite, mais il demeure que s’il n’avait pas de licence, il n’avait théoriquement pas non plus le droit d’étudier le fonctionnement du logiciel, ce qui constitue bien contrefaçon (si j’ai bien compris la loi).

2. Guillermito a désassemblé le logiciel : L122-6 et L122-6-1. Et là, d’une part le droit est flou, et d’autre part, jamais cette loi n’est passée devant un tribunal. D’un côté, il est permis d’étudier le fonctionnement du logiciel, et de l’autre, « la traduction de la forme de ce code » est interdite sauf pour interopérabilité. Cela interdit la décompilation, quid du désassemblage ? C’est curieux comme loi. Interprétée à ma sauce, cela interdit la décompilation. Mais devient douteux pour le désassemblage. Et autorise l’utilisation d’un debugger sur le programme chargé, car comment étudier le fonctionnement du logiciel en détails, et vérifier son bon fonctionnement sans cela ? Comme je l’indiquais précedemment, les bonnes questions et les bons liens se trouvent chez Lunar. Est-ce que Guillermito se livrait à de la « traduction de la forme du code » ? Non, car il n’a jamais tenté de traduitre le binaire de Tegam en code source haut niveau. Non, car il n’a pas changé le langage, se contentant d’utiliser les sorties du debugger. Oui, car un debugger affiche de manière humainement lisible le code du logiciel au fur et a mesure de l’exécution. Non, car debugger sert à regarder comment fonctionne le logiciel, ce qui est autorisé. Non, car il étudie les instructions du logiciel en mémoire une fois celui-ci chargé, et non le logiciel en tant que tel. Non, car étudier la sécurité d’un logiciel vis-a-vis de virus externes, c’est assurer son interopérabilité. C’est à cette question que les juges devront répondre... tout en s’appuyant sur l’avis d’un expert qui ne s’est pas présenté au tribunal. Or si un expert à été nommé c’est bien parce que les juges ne comprennent pas du tout de quoi il ressort.

   Sans parler des autres interrogations de cette loi : si un logiciel (libre ou non) est fourni avec le code source, comment s’applique cette loi ? Et pour le bytecode Java, comment cela se passe ? Et la faute à qui, si la loi est floue ? A l’Europe qui vote des lois contradictoires ? Aux députés Français qui ont fait de même ? A l’informatique qui évolue sans cesse ? En attendant, dans toute l’Europe et aux US, des milliers d’expert en sécurité continuent d’utiliser des debuggers sur des logiciels qui ne sont pas les leurs. Y compris Eyal Dotan, programmeur à l’origine de ViGuard, il suffit de voir les slides d’une présentation qu’il a donné : http://www.blackhat.com/presentatio....

3. Guillermito a distribué des logiciels permettant de « désassembler ViGuard » (sic) et des morceaux de ViGuard. Là, tout informaticien fait un bond. D’une part, distribuer un désassembleur, cela n’a rien de condamnable (j’ai même participé à un vieux projet scolaire de désassembleur). Il fallait comprendre un logiciel permettant de décrypter certains fichiers de ViGuard, par un simple XOR, un des cryptage les plus simples et moins fiables qui soit. Que dit la loi à ce sujet ? A ma connaissance rien, donc c’est autorisé. D’autre part, quelle est cette histoire de redistribution de bouts de code de Viguard ? Guillermito a recopié la clef du cryptage XOR. Qu’il aurait même pu obtenir autrement que par l’utilisation du debugger, vu la simplicité du cryptage. Or une telle plainte est aussi ridicule que le type de cryptage ; la clef, c’est quelques octets seulement, et l’élément central de ce logiciel. L’EUCD n’étant pas encore votée, il n’y avait pas de mal à diffuser cette clef, et même avec une telle loi, je ne suis pas certain que cela soit illicite. Cela peut même, comme l’a dit l’avocat de Guillermito, rentrer dans le cadre de la loi sur le droit de citation. Mais est ce que le droit de citation peut s’appliquer aux logiciels ? Je dirais, a priori, que oui.

Les implications

Bref, avec tout ça, au vu de la loi (où je suis pas compétant) et de mes connaissances informatiques (là ca va mieux), j’en dit que tout simplement les juges, s’ils comprennent bien de quoi on parle, auront tout simplement à décider comment doivent se comprendre, et donc s’appliquer, certains textes de lois.

C’est aux gens de se conformer aux lois de la République, et non l’inverse, si on suit le procureur. Or, il apparait que le monde de la sécurité informatique se comporte constamment comme Guillermito. Si on devait juger en définitive Guillermito coupable pour les points 2 et/ou 3, et c’est ma grande crainte, alors c’est tout le monde de la sécurité informatique qui pourrait être condamné. On interdirait alors aux consommateurs de vérifier le bon fonctionnement des logiciels, et notamment l’absence de problèmes de sécurité. Cela créerait un dangereux précédant juridique signifiant l’interdiction de la recherche des failles telle que procédé actuellement. C’est pourtant un processus très sain que de pouvoir étudier le fonctionnement des logiciels.

Utiliser un debugger permet de découvrir (plus facilement) le fonctionnement d’un logiciel. Cela facilite le travail de recherche sur les faiblesses d’un logiciel. Evidemment, les pirates qui voudraient contourner ViGuard ne se seraient pas génés non plus pour utiliser un debugger. Ils ne sont pas plus bêtes que Guillermito, et savent parfaitement que la promesse de ViGuard (arrêter tous les virus, connus où inconnus) relève de la poudre verte de perlinpinpin sous Windows 95 et 98, du fait de l’absence de « mémoire protégée ».

Interdire l’utilisation d’un debugger permettrai donc à Tegam de se protéger contre les gens qui démontrent les faiblesses de son produit, et les mensonges de sa publicité. Si personne ne peut voir que leur outil n’est pas sérieux, la loi est dans leur camp. S’il n’y avait pas eu Guillermito, il y aurait eu quelqu’un d’autre. Peut-être même quelqu’un de mal intentionné. Or il apparait que généralement lorsqu’un expert pointe les défauts d’un logiciel, l’éditeur ne lui reproche rien, et quelque fois le remercie. Dans le cas de Tegam, le procès a lui tout seul prouve le manque de sérieux du logiciel, puisque l’étude sur les limites de leurs technologies réalisée par Guillermito, gratuitement, aurait pu être l’occasion de corriger les erreurs, avant qu’un pirate ne s’en apercoive, et donc avant des dégats. Mais cela aurait nécessité la diffusion d’une mise a jour, donc inacceptable pour leur politique marketing. Bien que ces erreurs aient été corrigés dans les versions actuelles de ViGuard.

Les pratiques de tous les chercheurs en sécurité sont celles de Guillermito. En effet, la révélation de failles de sécurité, de manière plus ou moins détaillée, cela se fait tous les jours, en particulier sur la liste bugtraq à laquelle sont abonnés toutes les personnes s’intéressant à la sécurité informatique. Microsoft accepte fort bien ce jeu, même si ils y perdent souvent. Pour ses compétences dans son domaine d’activité, Tegam aurait même pu embaucher Guillermito, ca aurait amélioré le produit.

Mais en réalité, cela va au-delà. Une comparaison avec la vie courante. Si demain un fabricant de serrures se mettait à vendre une nouvelle serrure "inviolable", et que quelqu’un expliquait clairement, preuves à l’appui, que cette serrure ne tiens pas plus de 3 secondes quand un cambrioleur l’étudie un peu, que dirions-nous si on condamnait non pas le fabricant de serrures pour publicité mensongère, mais la personne qui prévient qu’il y a problème, sous prétexte qu’il n’avait pas le droit d’étudier la fiabilité de la serrure, ou de le prouver ?

Je note également de ce procès les paradoxes du procureur :
  on ne peut étudier la sécurité d’un logiciel, sauf éventuellement dans le cas extrème où l’on est journaliste : vu le niveau de la presse informatique Française, cela ne risque pas d’arriver. De plus les résultats de Guillermito ont été publiés dans un journal.
  puisque Guillermito a tellement de connaissances virales, pourquoi ne pas développer lui-même son antivirus (il a pourtant déjà un métier) ? Curieusement, Tegam s’est plaint que des professionnel de la concurrence critiquent son logiciel. Au contraire, le fait que Guillermito ne travaille pas pour la concurrence est a son avantage.
  pourquoi ne pas avoir fait appel aux associations de consommateurs ? simplement parce que ces dernières n’ont jamais été intéressés par des affaires touchant de trop près à l’informatique.

En attendant, j’ai retourné dans plusieurs sens ce procès dans ma tête. Difficile de prévoir quelle en sera l’issue. L’expert, qui n’a qu’une valeur consultative, mais qui est probablement le seul à comprendre les faits, semble avoir jugé qu’il s’agissait bien de contrefaçon. Mais un expert juridique n’a qu’un rôle consultatif, ce n’est pas à lui de juger en regard de la loi. Je n’ai pas lu son rapport, mais il semble laconique, et son absence au le jour du procès, malgré convocation, semble aller dans le sens d’un manque de fiabilité de ses analyses. Cela pourrait-il être profitable à Guillermito, et surtout au « full disclosure » et à la sécurité informatique en général ? Je serais bien curieux de savoir ce que dit ce rapport à vrai dire, mais il n’est pas public. Mais de toute évidence, que Guillermito soit condamné ou non pour les points 2 et 3, ce ne sera que deux interpretations différentes des lois de la République... Et tant d’autres éléments que je ne connais guère se trouvent dans les conclusions qu’ont remis les deux parties au juge...

PS. En parlant de serrures, je n'ai pas entendu parler de poursuites pour l'auteur de cette vidéo.

Les personnes intéressés par le procès de Guillermito ont probablement lu ces quelques pages, mais au cas où :
  La troisième partie du compte-rendu de Veuve Tarquine. Lisez sa conclusion, elle traduit parfaitement le ressentimment général envers Tegam.
  Et le compte-rendu par Eolas, qui n’a pas pu assister au début de l’audience.

Il est à signaler que l’affaire est passée sur linuxfr, et que bien évidemment d’autres sites en parlent, mais mon rôle n’est pas de citer tout le monde bien évidemment.

Veuve Tarquine a commencé son compte-rendu de scéance : première partie, deuxième partie. Et bientôt la troisième partie.

Quand à Lunar, il pose les bonnes questions qui sont au fond de ce procès. Je vous conseille très vivement de lire ce post, j’allais bloguer a ce sujet, mais je n’aurais pas fait mieux.

Bon, alors brievement, et presque a chaud, résumé de la journée.

2h00 : je me lève a une heure incongrue, mais tout le monde s’en fout.

12h45 : j’arrive au tribunal pour le procès de Guillermito, grâce aux instructions d’Eolas

13h00 : Une dame me demande si on ne ce serait pas déjà vu quelque part. J’ai certes une mauvaise mémoire des visages, mais quand même, je suis venu incognito, et je ne l’avais jamais vu.

13h15 : l’audience s’approche, des groupes de personnes se forment, facile de deviner ce qui les réunit. Parmis eux, je crois deviner quelques personnes, et surtout je reconnais, sans aucun doute possible, Guillermito. Je pourrais me joindre a eux (après tout, on est là pour ça), mais vu les trolls de la liste de diffusion de feu-« Le Virus Informatique », et le fait que théoriquement je suis anonyme, je me dit qu’il vaux mieux être discret avant au moins la fin de l’audience.

13h28 : mon voisin de gauche me demande si je ne serais pas un certain Olivier. Je lui réponds que non, mais que si c’est Olivier Aïchelbaum qu’il cherche, j’ai un doute (je désigne alors quelqu’un), mais que ça m’intéresse aussi. Lui aussi m’avoue alors que le doute se portait entre nous deux. Plus tard, il me demande si ce n’est pas Maxime mon prénom. Bingo ! En retour, je lui demande qui il est, évidemment nous n’étions pas de parfaits inconnus (je laisse le soin à l’intéressé de se dénoncer de lui-même, s’il juge que cela apportera quelque chose au schlimblick).

13h30 : la cour arrive, je vais enfin savoir comment se passe la justice en France. C’était aussi une nouveauté pour moi. Je ne vois pas de Jean-Paul Ney, qui a pourtant énormement parlé de cette affaire.

L’avocat de Guillermito demande un report : il n’a eu que quelques heures pour examiner le volumineux dossier que le plaignant lui a envoyé, dans une affaire où la partie civile réclame 42 ans du salaire du prévenu. Il ne l’obtiendra pas, mais le procureur précise que la raison de son renvoi lui est plutôt favorable. Autrement dit, le procureur part avec un avis favorable sur Guillermito.

16h30 : l’audience est suspendue. Mr Peer vous fait le résumé des affaires qui ont eu lieu entre-temps mieux que moi. Je continue de rester anonyme pendant la pause.

16h45 : Début des plaidoyeries. J’ai au total 6 feuilles écrites en version dégueulasse, un bon résumé des plaidoyeries en perspective. Mais je ne mettrais ca au propre que pour le cas où les avocats-blogueurs présents ne livrent pas un résumé que je jugerais convenable, ou pour le cas où ils s’attachent trop à privilégier la loi en oubliant les faits qui relèvent de l’informatique, et qui ne sont pas a la portée du nouveau venu en informatique, loin de là même. D’autres blogueurs se sont attachés a relever les petits mots du procès (à chacun de privilégier ce qu’il juge bloguable, de la pluralité des informations naitra la richesse).

D’ailleurs, cela a déjà été blogué, outre chez Mr Peer qui surveillait attentivement ses referers ce soir :
  Flaoua
  Neuro
  Madflo

Mais à mon tour de vous livrer mes rapides impressions. Je compléterai si nécessaire : Eyal Dotan (programmeur de ViGuard) a bien du mal a parler, on sens comme une certaine nervosité chez lui. Pourtant, c’est lui le plaignant. Du peu qu’il aura dit suffisamment fort pour que le comprenne, je note la bourde du jour selon moi (désolé, c’est pas texto) : « on publie des failles de sécurité depuis la nuit des temps, mais en général avec un certain respect du logiciel. ViGuard aura sans cesse été attaqué et discriminé par Guillermito. Il n’y a que ViGuard a avoir eu droit à une telle campagne de dénigrement suite à la publication de failles ». Bien, sauf que les contre-exemples que même le procureur connait existent. Le premier d’entre eux sera l’OS de Microsoft : Windows. Et là je suis bien embêté : quel lien publier pour un exemple de dénigrement de windows. Le Standblog qui pointe sans cesse le manque de sécurité d’internet explorer et encourage, avec raison, les gens à changer de navigateur ? Les archives de bugtraq qui ne manquent pas de haine envers Microsoft ? Une recherche google ?

L’avocat de Tegam insistera sur le fait que Guillermito aurait usé de contrefaçon. Malheureusement, cela ne tiens pas vraiment debout, et même les affirmations de l’expert du tribunal méritent discussions (soyons clair : j’ai du mal à partager son avis, et la défense aussi). Dans son accusation le procureur avait l’air plutôt de l’avis que Guillermito n’était pas ce qu’il y avait de pire, non sans faire des comparaisons douteuses avec le libre marché. Mais que la loi étant la loi, Guillermito n’avait pas à contrefaire des logiciels (ici je pourrais développer en parlant de la règle du full disclosure). L’impression que finalement Guillermito n’était pas si dangereux que ça, mais que quand même, ce qu’il a fait c’est répréhensible et qu’au tribunal on juge selon la loi. Par suite, j’ai bien aimé la réponse de son avocat. En particulier, il citait des arrêtés de la cour de cassation qui montraient que de vouloir faire taire quelqu’un était d’embêtant était un motif de relaxe (désolé, pas trop suivi, c’est juridique tout ça, il citait notamment l’affaire Danone, et si j’ai bonne mémoire, c’était déjà lui l’avocat de la défense, mais c’est là un détail sans intérêt). En fait, il donnait au procureur les éléments du droit qui lui permettraient de relaxer Guillermito. Serait-ce ce qu’attendait le tribunal ? En étant optimiste, cela le serait, effectivement, tout en tenant compte de la difficulté de parler de contrefaçon, mais ce n’est pas si simple.

19h00 (environ) : La cour suspend la scéance, alors que les 2 parties n’en ont pas fini. Il faut dire que 2 juges donnent l’impression de s’en dormir depuis le début de cette affaire. Evidemment, s’il n’ont qu’une petite expérience de l’informatique, difficile de comprendre la suite. IMHO, pour un tel cas, il faudrait avoir un juge qui soit aussi ingénieur en informatique. Toutefois, le troisième juge avait bien étudié le dossier et suivait les débats attentivement. On saura le 8 mars si Guillermito sera condamné. Là, j’en profite pour me mêler à la foule des gens venus assister à la scéance. Il semblerait qu’au début beaucoup de monde m’ait pris pour Olivier Aïchelbaum, et que certains se sont mis a me dévisager lourdement... Etrange je n’ai pas eu le resenti. Olivier Aïchelbaum l’as-t’il eu lorsque ces mêmes personnes se sont rendus compte de qui était le vrai ?. Comment s’est-il senti lorsque son nom a été évoqué dans l’affaire ? (aux dire de ceux qui ont fait attention : pas très bien. L’intéressé dément, pensant qu’il n’a rien a se reprocher ; ce qui est vrai pour le fait alors évoqué. Et il rajoute qu’il était au fond de la salle, et qu’il n’a pas vu personne se tourner a ce moment-là...). Je ne l’ai plus revu à la fin de la scéance, mais son absence comme je m’interrogeait dans un premier temps me parait bien improbable, sinon impossible, maintenant.

Direction un bar non loin du palais de justice, avec quelques autres personnes venues assister à ce procès. La soirée fut plus intéressante que les plaidoyeries, j’aurais appris beaucoup de choses sur le monde de l’internet et de la sécurité informatique, et du journalisme.

21h00 (par là) : j’apprends dans ce même bistrot que la dame en question de 13h00, c’est Danielle Kaminsky, attachée de presse de Tegam. J’ai une gueule de créateur de virus ? de journaliste ? de troll ? (les 3 sont vrais, a plus ou moins grande échelle, zut).

0h45 : je rentre chez moi, et je fait ce que fait tout geek qui se respecte.

3h00 : je me couche, en laissant ce post peut-être un peu brouillon. En me disant que je pourrais compléter dans le futur. Il faut notamment que je parle du rôle du responsible disclosure, qui est la méthode privilégiée de révélation des failles de sécurité, et des conséquences, en Europe comme en France, si Guillermito était condamné.

Maintenant que l’audience s’est tenue, Olivier Aïchelbaum peut-il nous en dire plus au sujet de ces photos, entre autres ? Ou attends-t-il le délibéré ? Et Kitetoa, qui nous avait promis des éléments supplémentaires ? (présent aussi à l’audience). Mmm.. ca laisse des éléments en suspent.

Tiens, Guillermithon.org est encore libre à l’heure actuelle ? Qui avait promis qu’il l’acheterait ? Je veux bien m’en charger s’il faut.

Le procès de Guillermito a finalement été remis au 4 Janvier 2005 à 13:30, 31ème Chambre, Paris, Ile de la cité.

Le procès est public, et j’ai comme dans l’idée que ça peut faire plaisir à Guillermito que le public soit nombeux. Pour vous y rendre, l’itinéraire indiqué par Eolas restera toujours valable. En tout cas, pour peu que je soit sur Paris ce jour-là (et que j’ai rien de mieux a faire), j’y serais.