31 Mars: there is now an english version of this page.

30 Mars: Je suis un peu lent à répondre aux e-mails en ce moment, mais c'est parce que j'en reçois beaucoup, et je réponds à tous. Et en même temps, j'essaie de continuer à travailler. Un merci du fond du coeur pour les nombreux soutiens, idées, propositions. Sincèrement, ça me touche beaucoup. La solidarité existe encore, je suis très heureux de le découvrir.


Mis en examen

Il est intéressant de découvrir de l'intérieur le fonctionnement de la justice française. Je reviens juste de Paris. Je viens d'être mis en examen, pour "contrefaçon et recel de contrefaçon". Je risque deux ans de prison et 150.000 euros d'amende. Je ne suis toujours pas jugé coupable ou innocent, mais j'ai déjà payé de ma poche deux ou trois mille euros, pour deux séjours à Paris, billets d'avion, et frais d'avocat. J'avais déjà parlé de cette affaire ici.

Reprenons brièvement l'histoire depuis le début. En 2001 et 2002, motivé dans le forum usenet fr.comp.securite.virus par des journalistes qui préparent une série de deux articles à ce sujet dans le journal Pirates Mag' (no 9 et no 12, on peut noter par ailleurs que ce journal indépendant a, lui aussi, été quasiment interdit de publication depuis) et qui ont besoin de matière, mais aussi par ma propre curiosité à propos des logiciels de sécurité, j'ai publié sur mon site web une longue analyse concernant le logiciel anti-virus français Viguard, édité par la société Tegam. Il s'agissait d'exposer quelques failles de sécurité, et de montrer que, contrairement à ce qu'annonçaient les publicités, ce logiciel n'arrêtait pas 100% des virus. Rien de vraiment révolutionnaire, donc. Cette société a réagi dans un premier temps de manière assez étrange, me dénonçant publiquement comme un "terroriste", sans doute pour tenter de gentiment m'influencer. Par la suite, elle a porté plainte contre moi. Mon serveur en France a été saisi (la page est toujours disponible, indépendamment de ma volonté, sur Internet Archive, ainsi que chez quelques internautes solidaires), mes redirections chez Gandi bloquées, le tout sur ordre du juge d'instruction. On me reproche en fait d'avoir publié sur mon site web des "exploits", c'est à dire la démonstration pratique de mes analyses théoriques, qui montraient la réalité des failles de sécurité découvertes, de manière reproductible par tous. On me dit que ces démonstrations "reprennent et copient la structure et le code du logiciel Viguard", d'où la contrefaçon. Depuis, j'ai analysé de la même façon, et codé d'autres exploits pour une douzaine de logiciels de steganographie qui, souvent, promettent monts et merveilles, mais n'offrent en fait aucune sécurité.

Si des chercheurs indépendants ne peuvent pas analyser les logiciels de sécurité et publier leurs découvertes, les consommateurs n'auront plus que les publicités des éditeurs pour juger de la qualité d'un logiciel. Malheureusement, c'est le monde vers lequel on se dirige.

Pour donner une analogie, c'est un peu comme si Renault vendait des voitures sans frein, que je me rendais compte du problème, jetais un oeil sous le capot, prenais quelques photos pour prouver mes dires, et publiais le tout sur un site web. Et que Renault porte plainte contre moi.

Plus dans mon domaine, puisque je suis chercheur en biologie moléculaire et que mon métier est de découvrir comment fonctionnent des systèmes biologiques, puis de publier mes résultats, on peut imaginer le scandale si une société pharmaceutique portait plainte contre moi parce que j'ai publié, par exemple, qu'un médicament commercialisé n'est pas aussi efficace que les publicités de la société le prétendent.

Mais quand il s'agit de sécurité informatique, on est dans un autre univers, dans lequel la rationnalité n'a plus cours.

Ce qui est curieux quand on est face à un juge d'instruction, c'est qu'on ne parle pas la même langue. Je suis incapable de comprendre le jargon juridique, et la personne qui est en face de moi n'entend rien à la sécurité informatique et à l'internet. L'avocat est censé être le traducteur. Mais l'avocat n'a pas le droit de parler durant mes déclarations. C'est assez étrange. Il faut argumenter son cas, faire oeuvre de vulgarisation en tentant d'exposer de manière simple et sans jargon des méthodes complexes, le fonctionnement de divers programmes, expliquer pour la dixième fois pourquoi les accusations de la partie adverse ne tiennent pas la route.

Il n'y a jamais eu de jugement d'un cas similaire en France. Les quelques cas de contrefaçon que j'ai pu retrouver concernaient des gens qui ont copié et vendu à des centaines d'exemplaires des logiciels piratés, pour gagner de l'argent. On est très loin de mon cas. Mon affaire, comme l'affaire Tati/Kitetoa auparavant (Kitetoa a montré les failles d'un serveur web, j'ai montré les failles d'un logiciel; dans les deux cas la société a porté plainte; Kitetoa a finalement été relaxé après deux ans de procédure), va donc servir de jurisprudence. La question est la suivante: est-il possible en France aujourd'hui de publier les failles d'un logiciel, et la démonstration pratique de l'exploitation de ces failles? Je ne suis pas encore jugé, mais je suis pessimiste, et il semble que l'on s'oriente vers une réponse négative. Si je suis déclaré coupable, le full disclosure va être de facto interdit. Les consommateurs devront se contenter des communiqués marketing des éditeurs pour s'informer. A part feu Transfert et quelques amis, personne n'a vraiment l'air de s'en soucier.

Pour ceux qui ne connaissent pas le monde de la sécurité informatique, les failles de logiciels, et souvent le code pour les exploiter, sont publiées tous les jours sur les listes de sécurité les plus réputées dans le monde, comme Bugtraq. Des organismes gouvernementaux comme le CERTA font la même chose. Les écoles d'informatique comme l'EPITECH demandent à leurs élèves de trouver des failles dans les logiciels anti-virus. Tout le monde fait ça. C'est une méthodologie acceptée et largement répandue. Même les gros éditeurs comme Microsoft l'acceptent, quoique pas toujours de bonne volonté, et remercient les découvreurs de failles. Je suis mis en examen pour exactement la même chose.

C'est un joli monde qui se prépare. Un monde dans lequel les éditeurs de logiciels ont le droit de mentir effrontément, mais un individu isolé n'a pas le droit de publier la vérité technique. Plus de contre-pouvoir possible. Tout pour les entreprises, et tant pis pour les consommateurs.

Pour donner une rapide idée de la bonne foi et de la moralité de chacun dans cette affaire, je rappelle que l'entreprise qui a porté plainte contre moi, Tegam, m'a accusé publiquement à six ou sept reprises début 2002 d'être un "terroriste recherché par la DST et le FBI", ou un "pirate informatique". La vérité est que je suis chercheur en biologie moléculaire à l'Université de Harvard, à Boston, USA, une vénérable institution qui, il est bien connu, emploie de nombreux terroristes. Cette même entreprise déclarait que son logiciel détectait "100% des virus connus et inconnus". J'ai montré que c'était, évidemment, faux. J'ai lu dans plusieurs forums que je "travaillais pour un éditeur concurrent". Que je faisais sans doute partie d'un complot, "payé sur des comptes secrets". Que j'étais "en fuite dans un paradis fiscal". Que je participais à une "guerre économique" contre l'éditeur. Tout est faux. Un autre exemple de leur éthique sans faille? Tegam base toute sa communication sur le danger des scanners anti-virus à signature. Pourtant, discrètement, ils distribuent un anti-virus à signature (je parie un euro que ce lien ne va plus fonctionner dans les 24 heures [Mise à jour 20 Avril: j'avais raison, le lien a disparu, mais le scanner est maintenant disponible ici, et comme par hasard, il est maintenant en GPL, peut-être à cause de ce message?]). Il y a des gens qui ne me croient pas quand je raconte tout cela, tellement ça parait énorme, qui me jurent la main sur le coeur qu'une entreprise ne ferait jamais cela. Et pourtant.

Je vais bien sûr me défendre, avec l'aide de mon (très bon) avocat, mais pour être franc, je suis assez pessimiste. Il est tellement facile d'impressionner des magistrats avec des mots lourdement connotés, "virus", "pirate", "terroriste", "hacker", et il est tellement difficile d'expliquer la démarche scientifique et la curiosité qui nous poussent à analyser comment les logiciels fonctionnent et à rechercher leurs failles.

Eternelle bataille entre l'argent et la connaissance. J'ai choisi mon camp depuis longtemps.

[PS: On en parlait dans des blogs ici, ici, ici, ici, et .

On en reparle déjà ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici.

On respire un petit coup, et on continue ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici, et ici. et ici.

Il y avait aussi un article ici, repris ici, mais ils ont été retirés après que les webmasters aient reçu une lettre menaçante de Tegam. Heureusement, il y a un autre article du même genre ici. Les mots et l'information: ma seule défense]



[Une petite mise à jour après avoir lu quelques commentaires sur Slashdot, parce que c'est étrange de lire que je n'existe pas. Je m'excuse donc pour avoir oublié de préciser qu'en fait, oui, j'existe vraiment. Mon vrai nom et le labo dans lequel je travaille sont ici. Mon email pro est guillaume (at) molbio.mgh.harvard.edu. Je ne donne pas de téléphone parce qu'il n'y a qu'une ligne pour tout le labo. Mes publications peuvent se trouver sur Medline. Et Tegam vient de répondre à mon histoire, pour vous donner un autre son de cloche. Un autre détail est que j'ai soumis les grandes lignes de ce texte à mon avocat avant de le publier pour être sûr de ne rien faire d'illégal. Et bien sûr, merci pour tous les commentaires que j'ai pu lire]





[guillermito a gmail com] - [Home]