[Kitetoa, les pizzaïolos du Ouèb

Procès Tegam versus Guillermito, jurisprudence ou pas?
Danger pour le full disclosure ou pas?

La question commence à se répandre sur les mailing-lists et les forums traitant de sécurité informatique. La condamnation de Guillermito à 5000 euros d'amende avec sursis pour contrefaçon et diffusion remet-elle en question la liberté de recherche de bugs? En clair, cette condamnation sonne-t-elle la fin, en France du concept de full disclosure, créant un risque juridique permanent pour les experts? En d'autres termes, le risque d'une plainte pour contrefaçon pèse-t-il au dessus de la tête des chercheurs de failles de sécurité, si une entreprise n'acceptait pas la critique, comme ce fût le cas dans l'affaire Tegam versus Guillermito?

Je vais vous livrer mon avis qui n'engage que moi:

oui et non.

Reprenons le verdict.

Cette petite analyse n'est pas vraiment juridique puisque je ne suis pas juriste.

Guillermito a été condamné pour contrefaçon et diffusion.

Cela veut dire que les juges ont estimé que Guillermito avait bien contrefait le logiciel Viguard de Tegam (dans la mesure où il ne disposait pas de licence valable). Selon les juges, il a diffusé cette contrefaçon. Comment contrefait-on un logiciel lorsqu'on en étudie le fonctionnement (en l'espèce, le mauvais fonctionnement)?

Guillermito a utilisé pour ses tests un logiciel dont il n'avait pas la licence (un utilisateur mécontent du logiciel lui cédera une licence, mais ceci n'a pas été retenu par le tribunal). C'est donc sur une version non autorisée du logiciel que Guillermito a travaillé. Il a produit des P.O.C. (des proof of concept). Et il les a diffusés. On est là dans l'aspect « diffusion » de la contrefaçon. Les experts en sécurité informatique diront probablement que tout cela est tiré par les cheveux et que c'est bien loin de la réalité du monde de la recherche en sécurité informatique. Il y a en outre un débat sur le reverse engineering et/ou la décompilation de Viguard par Guillermito. De même, le fait que Viguard n'était pas vendu aux Etats-Unis, pays où réside Guillemito, n'a pas été abordé. Ni le fait que Tegam a visiblement intégré les remarques de Guillermito dans son logiciel. Mais encore une fois, les juges ne s'attachent qu'au droit.

Alors, "jurisprudence" ou pas?

Oui et non...

Oui parce que c'est, à notre connaissance, la première fois, dans ce pays, qu'un chercheur de failles est attaqué par une société éditrice d'un logiciel de cette manière (m'sieur, il avait pas payé la licence, il y a délit de contrefaçon). Dans un futur procès éventuel de ce type, l'avocat de la société qui portera plainte évoquera évidemment cette décision.

Rien n'obligera les juges à suivre cette voie. En outre, c'est une décision de première instance. Et il pourrait y avoir une décision en appel. Qui sait?

Non parce que dans le cas précis, Guillermito n'avait pas de licence valable du logiciel. On peut imaginer que les chercheurs de bugs se prémuniront à l'avenir contre ce genre de problème en achetant le logiciel qu'ils voudront examiner. Bien entendu, il sera impossible de publier quoi que ce soit à propos d'un logiciel étranger non disponible en magasin ou via le réseau, avec paiement en ligne.

Ceci dit, cette décision a tout de même un effet collatéral sur la recherche de failles. Comme cela a déjà été écrit sur Kitetoa.com, les listes de diffusion, sociétés de sécurité, particuliers, CERTs et autres CERTA qui décideront de diffuser une alerte de sécurité réalisée par un hacker étranger dont ils ne sauront pas s'il disposait ou non d'une licence valable, prendront un risque évident. Il y aura probablement là matière à poursuivre pour recel de contrefaçon et diffusion (s'il y a un P.O.C). La France se tire donc une balle dans le pied (si vous me permettez l'expression). Elle se place, avec le résultat de ce procès, dans une situation où il devient difficile de véhiculer l'information en matière de sécurité informatique puisqu'il faudra vérifier avant que la licence du logiciel décortiqué était valide. Bon courage.

Une piste plus "juridique" pour poursuivre votre réflexion:

http://maitre.eolas.free.fr/

Faites une recherche sur le mot Guillermito

Enfin, à la suite de la lecture du très bon papier de Maître Eolas et dans l'attente des motivations du jugement, il est permis -pour des experts informatiques- de s'interroger sur la taille du code reproduit qui peut constituer une contrefaçon d'un logiciel. Disons (au pif) que viguard représente quelques mégabytes de données . A partir de combien d'octets reproduits tombe-t-on dans la contrefaçon si l'on a pas la licence? Dans un autre cas de figure, si l'on dispose d'une licence valable, à partir de combien d'octets reproduits tombe-t-on dans la contrefaçon?

Kitetoa

Retour au sommaire de l'affaire Tegam contre Guillermito

k-version: 5.0