Affaire Guillermito - Le full-disclosure français sera jugé début Octobre

Update : Le procès,  initialement prévu pour le 5 octobre 2004, a été renvoyé à une date ultérieure (sans doute début 2005). Nous vous tiendrons au courant de l'évolution de cette affaire.

- Après deux ans d'instruction, Guillaume Tena, chercheur français en biologie végétale à Harvard (Etats-Unis) et chasseur de failles de sécurité, sera jugé début octobre suite à une plainte contre X déposée par un éditeur français de logiciels antivirus.

L'affaire remonte à 2001, quand Guillaume Tena (connu sous le pseudonyme Guillermito) identifie puis publie dans des forums spécialisés, un certain nombre d'articles décrivant les faiblesses d'un logiciel antivirus français qui, selon son éditeur, est capable d'arrêter 100% des virus.

L'éditeur de l'antivirus en question, n'a pas apprécié les critiques de ce chercheur et a donc déposé plainte contre X. Mis en examen pour "contrefaçon et recel de contrefaçon",  Tena se voit

 

reprocher la publication d'un Proof of Concept (Exploit) "reprenant et copiant une partie de la structure/code de l'antivirus" (désassemblage), violant ainsi l'article 335.2 du code de la propriété intellectuelle. L'expert informatique désigné par le juge d'instruction a donc conclu que "le délit de contrefaçon par reproduction de logiciel était caractérisé dans la mesure où les modifications sur l'antivirus n'étaient pas effectuées par un simple utilisateur à des fins de compatibilité pour une utilisation personnelle, mais étaient réalisées par un internaute qui les communique à des tiers".

Or, la publication d'exploits ou de Poof of Concept est chose courante dans le monde de la sécurité, puisqu'ils permettent de confirmer l'existence d'un bug ou d'une faille de sécurité, et d'évaluer les risques réels qu'encourent les internautes utilisant un produit vulnérable. L'expert à précisé toutefois que "Guillaume Tena disposait de compétences indiscutables en matière virale et anti-virale, et avait dénoncé avec pertinence les failles de cet antivirus".

Après deux années de procédures judiciaires, la charge de "recel de contrefaçon" a été annulée par le juge d'instruction. Le chef de "contrefaçon de logiciels" quant à lui, sera jugé au Tribunal de Grande Instance de Paris, le 5 octobre 2004 à 13h30 (31ème Chambre /1, Tribunal de Grande Instance de Paris, 4 Boulevard du Palais, 75100 Paris).

Une éventuelle condamnation de Guillermito pourrait tuer la recherche et la divulgation des failles de sécurité en France, une recherche déjà "bridée" avec l'article 46 de la Loi pour la confiance dans l'économie numérique (Loi n° 2004-575 du 21 Juin 2004- JO n° 143 du 22 Juin 2004).

La révélation d'une faille de sécurité nécessiterait alors, non seulement un "motif légitime", mais aussi l'accord préalable de l'éditeur ou du constructeur, une situation inimaginable et inacceptable dans tout autre domaine de recherche scientifique [Imaginez le scandale si une société pharmaceutique portait plainte contre un chercheur biologiste ayant révélé, par exemple, qu'un médicament commercialisé n'était pas aussi efficace que ce que prétendait le laboratoire produisant ce médicament].

Nous espérons que le jugement du 05 Octobre 2004 sera favorable à Guillaume Tena et au full-disclosure, ce qui évitera l'instauration d'une sécurité passive en France.

(Le 31 Août 2004)
        

 F-VNS Security Audits de Sécurité & Tests Intrusifs Mailing Listes Advisories  Service Publicitaire

Tous droits réservés © 2002-2004 K-OTiK Security Voir Notice Légale   

actualité informatique  Exploits