Guillermito condamné, encore un avenir pour le "proof of concept"?

Affaire Guillermito - Le full-disclosure français sera jugé en 2005
Par La Rédaction - K-OTik Security / Original le 31/08/2004 - MAJ le 05/01/2005

Après deux années d’instruction, le procès de Guillaume Tena, chercheur français en biologie végétale à Harvard (Etats-Unis) et chasseur de failles de sécurité, s’est tenu hier à la 31ème Chambre du Tribunal de Grande Instance de Paris, suite à une plainte contre X déposée par un éditeur français de logiciels antivirus.

L’affaire remonte à 2001, quand Guillaume Tena (connu sous le pseudonyme Guillermito) identifie puis publie dans des forums spécialisés, un certain nombre d’articles décrivant les faiblesses d’un logiciel antivirus français qui, selon son éditeur, est capable d’arrêter 100% des virus.

L’éditeur de l’antivirus en question n’a pas apprécié les critiques de ce chercheur et a donc déposé plainte contre X. Mis en examen pour “contrefaçon et recel de contrefaçon”, Tena se voit reprocher, entre autres, la publication d’un Proof of Concept (Exploit) “reprenant et copiant une partie de la structure/code de l’antivirus” (désassemblage), violant ainsi l’article 335.2 du code de la propriété intellectuelle. L’expert informatique désigné par le juge d’instruction a donc conclu que “le délit de contrefaçon par reproduction de logiciel était caractérisé dans la mesure où les modifications sur l’antivirus n’étaient pas effectuées par un simple utilisateur à des fins de compatibilité pour une utilisation personnelle, mais étaient réalisées par un internaute qui les communique à des tiers”.

Or, la publication d’exploits ou de Proof of Concept est chose courante dans le monde de la sécurité, puisqu’ils permettent de confirmer l’existence d’un bug ou d’une faille de sécurité, et d’évaluer les risques réels qu’encourent les internautes utilisant un produit vulnérable. L’expert à précisé toutefois que “Guillaume Tena disposait de compétences indiscutables en matière virale et anti-virale, et avait dénoncé avec pertinence les failles de cet antivirus”.

Après deux années de procédures judiciaires, la charge de “recel de contrefaçon” a été annulée par le juge d’instruction. Le chef de “contrefaçon de logiciels” quant à lui, sera jugé au Tribunal de Grande Instance de Paris (31ème Chambre /1, Tribunal de Grande Instance de Paris, 4 Boulevard du Palais, 75100 Paris).

Une éventuelle condamnation de Guillermito pourrait tuer la recherche et la divulgation des failles de sécurité en France, une recherche déjà “bridée” par l’article 46 de la Loi pour la confiance dans l’économie numérique (Loi n° 2004-575 du 21 Juin 2004- JO n° 143 du 22 Juin 2004).

La révélation d’une faille de sécurité nécessiterait alors, non seulement un “motif légitime”, mais aussi l’accord préalable de l’éditeur ou du constructeur, une situation inimaginable et inacceptable dans tout autre domaine de recherche scientifique [imaginez le scandale si une société pharmaceutique portait plainte contre un chercheur biologiste ayant révélé, par exemple, qu’un médicament commercialisé n’était pas aussi efficace que ce que prétendait le laboratoire produisant ce médicament].

[Le procès, initialement prévu pour le 5 octobre 2004, aura lieu à Paris le 4 janvier 2005 à 13:30 (31ème Chambre /1, Tribunal de Grande Instance, 4 Boulevard du Palais, 75100 Paris)].

Update : Comme prévu, l’affaire Guillermito est passée en jugement ce mardi 4 janvier. Le procureur de la République a requis quatre mois de prison avec sursis et 6000 euros d’amende à l’encontre de Guillaume Tena. Les dommages et intérêts sollicités par la partie civile (la modique somme de 900.000 euros) feront l’objet d’une audience ultérieure. Une peine que nous jugeons “démesurée” et qui pourrait, à l’avenir, s’avérer dangereuse pour l’ensemble des chercheurs et des professionnels du domaine de la sécurité informatique.

Le délibéré est fixé au 8 mars 2005. Nous espérons que le jugement définitif sera favorable à Guillaume Tena et au full-disclosure, ce qui évitera l’instauration d’une sécurité passive en France.

Source K-Otik : http://www.k-otik.com/
Guillermito : http://www.guillermito2.net/index-tmp.html

Voila triste réalité du monde informatique français… Pour ma part j’apporte ma faible contribution et mon (certes petit, mais toujours utile) soutien à Guillermito. Espérons que la suite ne soit pas plus dramatique…

L’ecart entre “Justice” et “justice française” continue de s’accroitre

Je trouve juste dommage que Clubic n’est pas donné plus d’importance à cette affaire (où sont les news???) et soutenu (à moins que cela n’est été fait de maniere “non puclic”) cette personne comme l’ont fait certains confrères…
Alors que Clubic me semble etre un des acteurs majeurs du web informatique francophone…

Peut être tout simplement car Clubic ne juges pas “utile” de mettre un news aussi rabas joie.

Il y a plein de personne qui sont juger devant un tribunal alors qu’ils sont innocent, ou ont essayer de faire une bonne action selon eux.
Alors doit on mettre toutes ses informations ?
Je doute fort que ce monsieur soit plus important qu’un autre.
D’un autre coter ce monsieur s’est joué sur son image de “marque”.

Ce qui peux expliquer pourquoi Clubic ne passe pas ce genre d’information.

Strat => n’importe quoi… Tu n’as pas du tout comprendre à l’intéret de cette news justement…
Au mais j’oubliais que des sites comme K-Otik sont administrés par des branques c’est vrai…

C’est aussi vrai que “Le ralentissement des investissements mémoire” c’est vachement plus important dis donc… Ou al sortie de telle ou telle démo de jeu…

Chacun ses priorités comem on dit… Mais peut etre que Clubic est trop “grand public” pour s’interesser à cette question de fond…

Thory => Là n’est pas le probleme, l’important n’est pas “une personne” mais ce qui va découler de ce verdict…
Et entre autre de la jurisprudence…

tout simplement lamentable comme attitude de la part de l’éditeur

Ben oui ça lui fait un sacré mauvais coup de pub, quoi que maintenant aussi avec cette histoire devant les tribunaux

Clubic publie les news qu’ils veulent, c’est leur site, ils font ce qu’ils veulent, là n’est pas le probleme de savoir si une news est mieux qu’une autre.

Bah si justement, parcequ’il y a des news “importantes” comem celle-ci.
Et accessoirement le choix des news c’est ce qui va faire que ton site est interessant et “à la page” et non le contraire…

Importante pour toi, mais peu être pas pour tous le monde, tous le monde n’a pas les mêmes avis sur des sujets données. Il ne faut pas prendre une information comme étant mieux que les autres.

Laisse tomber… Je crois que tu n’as pas compris la porté du probleme…
De toute facon ce topic ne s’adresse pas à toi mais a la team…

Et pour ta gouvernante je ne suis pas le seul à avoir trouvé cette nouvelle “importante” (et oui), et si on ne prend pas des informations plus importantes que d’autres, tu m’expliqueras bientendu comment tu fais pour résumer l’actualité… :sarcastic:

mais bien sur qu’elle est importante cette news…!

Sinon c’est franchement pitoyable, aller faire de la prison pour ca! Perso j’ai eu mal au ventre en lisant la news

si je me rappelle bien (pas sur, ;)) le monsieur il etait pas forcemment aussi net et clair qu’il veut bien le faire croire

gus => Désolé mais j’appele des arguments de discussion “café du commerce” qui n’ont donc pas vraiment de portée
Et encore uen fois ce n’ets pas le fondement du pb comme je l’ai expliqué.
Je me fous de guillermito, ce qui ets important c’est ce que cela entraine.

au contraire, le probleme c’est Guillermito et ces manières de faire …
je ne crois pas que Secunia ou autre spécialiste de la traque de faille est déjà été inquiété …

le problème est que tout le monde à le droit à la justice, autant le traqueur de faille que la société qui edite le logiciel

mais bon je me suis déjà exprimé sur ce sujet en avril, cf le lien du doc