et il a perdu!
sa craint!
QUOTE
Affaire Guillermito - Le full-disclosure français jugé en 2005
Par La Rédaction - K-OTik Security / Original le 31/08/2004 - MAJ le 08/03/2005
Après deux années d'instruction, le procès de Guillaume Tena, chercheur français en biologie végétale à Harvard (Etats-Unis) et chasseur de failles de sécurité, s'est tenu hier à la 31ème Chambre du Tribunal de Grande Instance de Paris, suite à une plainte contre X déposée par un éditeur français de logiciels antivirus.
L'affaire remonte à 2001, quand Guillaume Tena (connu sous le pseudonyme Guillermito) identifie puis publie dans des forums spécialisés, un certain nombre d'articles décrivant les faiblesses d'un logiciel antivirus français qui, selon son éditeur, est capable d'arrêter 100% des virus.
L'éditeur de l'antivirus en question n'a pas apprécié les critiques de ce chercheur et a donc déposé plainte contre X. Mis en examen pour "contrefaçon et recel de contrefaçon", Tena se voit reprocher, entre autres, la publication d'un Proof of Concept (Exploit) "reprenant et copiant une partie de la structure/code de l'antivirus" (désassemblage), violant ainsi l'article 335.2 du code de la propriété intellectuelle. L'expert informatique désigné par le juge d'instruction a donc conclu que "le délit de contrefaçon par reproduction de logiciel était caractérisé dans la mesure où les modifications sur l'antivirus n'étaient pas effectuées par un simple utilisateur à des fins de compatibilité pour une utilisation personnelle, mais étaient réalisées par un internaute qui les communique à des tiers".
Or, la publication d'exploits ou de Proof of Concept est chose courante dans le monde de la sécurité, puisqu'ils permettent de confirmer l'existence d'un bug ou d'une faille de sécurité, et d'évaluer les risques réels qu'encourent les internautes utilisant un produit vulnérable. L'expert à précisé toutefois que "Guillaume Tena disposait de compétences indiscutables en matière virale et anti-virale, et avait dénoncé avec pertinence les failles de cet antivirus".
Après deux années de procédures judiciaires, la charge de "recel de contrefaçon" a été annulée par le juge d'instruction. Le chef de "contrefaçon de logiciels" quant à lui, sera jugé au Tribunal de Grande Instance de Paris (31ème Chambre /1, Tribunal de Grande Instance de Paris, 4 Boulevard du Palais, 75100 Paris).
Une éventuelle condamnation de Guillermito pourrait tuer la recherche et la divulgation des failles de sécurité en France, une recherche déjà "bridée" par l'article 46 de la Loi pour la confiance dans l'économie numérique (Loi n° 2004-575 du 21 Juin 2004- JO n° 143 du 22 Juin 2004).
La révélation d'une faille de sécurité nécessiterait alors, non seulement un "motif légitime", mais aussi l'accord préalable de l'éditeur ou du constructeur, une situation inimaginable et inacceptable dans tout autre domaine de recherche scientifique [imaginez le scandale si une société pharmaceutique portait plainte contre un chercheur biologiste ayant révélé, par exemple, qu'un médicament commercialisé n'était pas aussi efficace que ce que prétendait le laboratoire produisant ce médicament].
[Le procès, initialement prévu pour le 5 octobre 2004, aura lieu à Paris le 4 janvier 2005 à 13:30 (31ème Chambre /1, Tribunal de Grande Instance, 4 Boulevard du Palais, 75100 Paris)].
Update : Comme prévu, l'affaire Guillermito est passée en jugement ce mardi 4 janvier. Le procureur de la République a requis quatre mois de prison avec sursis et 6000 euros d'amende à l'encontre de Guillaume Tena. Les dommages et intérêts sollicités par la partie civile (900.000 euros) feront l'objet d'une audience ultérieure.
Update : Ce mardi 8 mars 2005, Guillermito a été condamné par le tribunal de grande instance de Paris à 5000 euros d'amende avec sursis (qu'il ne payera donc qu'en cas de récidive au cours des cinq prochaines années). Les dommages et intérêts sollicités par la partie civile (900.000 euros) seront discutés au cours d'une audience qui se tiendra le 12 avril 2005.
En créant un précédent judiciaire, cette condamnation pourrait, à l'avenir, s'avérer dangereuse pour l'ensemble des chercheurs et des professionnels de la sécurité informatique, car la publication d'une vulnérabilité ou d'un Proof of Concept à partir de recherches effectuées par reverse engineering ou par désassemblage est désormais ILLEGALE.
L'étude ou l'analyse des vulnérabilités présentes au sein d'un logiciel non Open-Source est, à partir d'aujourd'hui, interdite en France...
Par La Rédaction - K-OTik Security / Original le 31/08/2004 - MAJ le 08/03/2005
Après deux années d'instruction, le procès de Guillaume Tena, chercheur français en biologie végétale à Harvard (Etats-Unis) et chasseur de failles de sécurité, s'est tenu hier à la 31ème Chambre du Tribunal de Grande Instance de Paris, suite à une plainte contre X déposée par un éditeur français de logiciels antivirus.
L'affaire remonte à 2001, quand Guillaume Tena (connu sous le pseudonyme Guillermito) identifie puis publie dans des forums spécialisés, un certain nombre d'articles décrivant les faiblesses d'un logiciel antivirus français qui, selon son éditeur, est capable d'arrêter 100% des virus.
L'éditeur de l'antivirus en question n'a pas apprécié les critiques de ce chercheur et a donc déposé plainte contre X. Mis en examen pour "contrefaçon et recel de contrefaçon", Tena se voit reprocher, entre autres, la publication d'un Proof of Concept (Exploit) "reprenant et copiant une partie de la structure/code de l'antivirus" (désassemblage), violant ainsi l'article 335.2 du code de la propriété intellectuelle. L'expert informatique désigné par le juge d'instruction a donc conclu que "le délit de contrefaçon par reproduction de logiciel était caractérisé dans la mesure où les modifications sur l'antivirus n'étaient pas effectuées par un simple utilisateur à des fins de compatibilité pour une utilisation personnelle, mais étaient réalisées par un internaute qui les communique à des tiers".
Or, la publication d'exploits ou de Proof of Concept est chose courante dans le monde de la sécurité, puisqu'ils permettent de confirmer l'existence d'un bug ou d'une faille de sécurité, et d'évaluer les risques réels qu'encourent les internautes utilisant un produit vulnérable. L'expert à précisé toutefois que "Guillaume Tena disposait de compétences indiscutables en matière virale et anti-virale, et avait dénoncé avec pertinence les failles de cet antivirus".
Après deux années de procédures judiciaires, la charge de "recel de contrefaçon" a été annulée par le juge d'instruction. Le chef de "contrefaçon de logiciels" quant à lui, sera jugé au Tribunal de Grande Instance de Paris (31ème Chambre /1, Tribunal de Grande Instance de Paris, 4 Boulevard du Palais, 75100 Paris).
Une éventuelle condamnation de Guillermito pourrait tuer la recherche et la divulgation des failles de sécurité en France, une recherche déjà "bridée" par l'article 46 de la Loi pour la confiance dans l'économie numérique (Loi n° 2004-575 du 21 Juin 2004- JO n° 143 du 22 Juin 2004).
La révélation d'une faille de sécurité nécessiterait alors, non seulement un "motif légitime", mais aussi l'accord préalable de l'éditeur ou du constructeur, une situation inimaginable et inacceptable dans tout autre domaine de recherche scientifique [imaginez le scandale si une société pharmaceutique portait plainte contre un chercheur biologiste ayant révélé, par exemple, qu'un médicament commercialisé n'était pas aussi efficace que ce que prétendait le laboratoire produisant ce médicament].
[Le procès, initialement prévu pour le 5 octobre 2004, aura lieu à Paris le 4 janvier 2005 à 13:30 (31ème Chambre /1, Tribunal de Grande Instance, 4 Boulevard du Palais, 75100 Paris)].
Update : Comme prévu, l'affaire Guillermito est passée en jugement ce mardi 4 janvier. Le procureur de la République a requis quatre mois de prison avec sursis et 6000 euros d'amende à l'encontre de Guillaume Tena. Les dommages et intérêts sollicités par la partie civile (900.000 euros) feront l'objet d'une audience ultérieure.
Update : Ce mardi 8 mars 2005, Guillermito a été condamné par le tribunal de grande instance de Paris à 5000 euros d'amende avec sursis (qu'il ne payera donc qu'en cas de récidive au cours des cinq prochaines années). Les dommages et intérêts sollicités par la partie civile (900.000 euros) seront discutés au cours d'une audience qui se tiendra le 12 avril 2005.
En créant un précédent judiciaire, cette condamnation pourrait, à l'avenir, s'avérer dangereuse pour l'ensemble des chercheurs et des professionnels de la sécurité informatique, car la publication d'une vulnérabilité ou d'un Proof of Concept à partir de recherches effectuées par reverse engineering ou par désassemblage est désormais ILLEGALE.
L'étude ou l'analyse des vulnérabilités présentes au sein d'un logiciel non Open-Source est, à partir d'aujourd'hui, interdite en France...
Source: K-otik Security
Guillermito ZONE
---
