Guillermito, fin d'un combat
Les dés sont semble-t-il jetés. La cour d'appel a confirmé en tous points la condamnation de Guillermito en première instance. Le chercheur en biologie moléculaire d'Harvard est donc condamné au pénal à 5.000 euros d'amende avec sursis (cela veut dire qu'il n'a pas à les payer et traduit une volonté particulière du juge) pour contrefaçon. Cette condamnation ne figurera pas au bulletin n°2 de son casier judiciaire (là encore, cela traduit une volonté particulière du juge). Au civil, Guillermito est condamné à payer 10.300 euros au liquidateur judiciaire de Tegam, 3.000 euros à l'auteur du programme, et 1.000 euros au titre des frais d'avocat. Rappelons que Tegam demandait 900.000 euros de dommages et intérêts au civil.
Il y a grosso modo trois manières d'interpréter les impacts financiers de cette décision:
1) Finalement, d'une affaire présentée par Tegam comme énorme, il ne reste rien. Au pénal, l'impact de la décision est nul (sursis et non inscription au casier). Au civil, Tegam n'obtient qu'environ 1,5% de ce qu'elle demandait, le juge lui explique donc gentiment que sa vision du préjudice est totalement disproportionné.
2) Cette décision est disproportionnée (sur le plan civil) au regard des ressources financières de Guillermito et l'on peut se demander, accessoirement si les juges ont compris les aspects techniques de cette affaire pour prendre une telle décision.
3) Cette décision qui fait jurisprudence puisqu'il s'agit d'un arrêt de cour d'appel vise à envoyer un signal clair aux bidouilleurs qui voudraient se pencher sur les logiciels et trouver des bugs: attention, ça coûte quelques milliers d'euros.
Maintenant, passons aux conséquences de cette décision sur la sécurité informatique en général. Nous avions déjà abordé ce sujet après la décision de première instance. Nous avions également évoqué le fait que le secteur de la sécurité informatique ferait bien de faire attention aux personnes qu'il accepte en son sein afin de ne pas ternir son image.
Certains trolls annoncent déjà ici ou là que cette décision n'a aucun effet dès lors que l'on utilise un logiciel avec une licence valide. C'est avoir une bien courte vue que d'énoncer cela. Tout d'abord, comme l'indique l'immense Maître Eolas: « Guillermito a bien bénéficié d'un non lieu sur le recel de contrefaçon, donc sur l'histoire de la licence ».
En outre, tout le système mis en place ces dernières années pour faire progresser la sécurité informatique repose sur le concept de full disclosure. En clair, il s'agit de rendre publics tous les bugs. La mailing-list BugTraq a initié cette démarche.
Cela a fonctionné au delà des espérances. A l'époque, les éditeurs de logiciels n'étaient pas toujours partants pour patcher leur production lorsqu'un informaticien leur remontait un problème. La perspective que cette « nonchalance » soit rendue publique les a poussés à modifier leur comportement.
Aujourd'hui, les bidouilleurs ont également changé (l'effet RFPolicy?). Ils préviennent généralement assez systématiquement l'éditeur avant de publier et attendent même souvent, en accord avec l'entreprise, la mise à disposition d'un patch officiel pour rendre publique leur trouvaille.
Cette jurisprudence va s'imposer aux bidouilleurs français qui risqueront, sur le territoire français de se voir poursuivis par des entreprises n'appréciant pas trop de voir leur produit être remis en question. Le risque juridique permanent ainsi institué (même si une condamnation n'est pas assurée) suffira probablement à calmer les ardeurs de certains.
On peut imaginer que les remontées de bugs se feront moins nombreuses. En cela, la sécurité informatique sera moins importante pour les consommateurs©.
Maintenant, élargissons un peu la problématique. Nombreux sont les canaux permettant à l'information liée aux bugs informatiques de circuler. Il y a les CERT, le CERT-A (pour l'administration), les sites de sécurité informatique, les magazines spécialisés, etc. Lorsqu'ils décideront de relayer une alerte de sécurité publiée par -c'est un exemple, remplacez la nationalité par celle qui vous intéresse- un informaticien russe, pourront-ils affirmer que cette faille a été trouvée dans le cadre de l'utilisation d'un logiciel avec licence valable, sans reverse engineering, sans débuggage? Si ce n'est pas le cas, ils courent clairement le risque de se rendre coupable de recel de contrefaçon, surtout si l'alerte de sécurité est accompagnée d'un Proof of Concept (PoC), ceux-ci consituant visiblement dans l'esprit des juges une contrefaçon des logiciels auquel ils s'appliquent...
C'est important, la décision de la cour d'appel démontre que la justice ne fait pas de différence entre reverse engineering et débuggage. A l'occasion j'aimerai qu'un spécialiste m'explique comment trouver des bugs, ou même déceler la présence d'un rootkit sans désassembler et sans débugguer.
En cela, la décision pose une problématique intéressante. En dépit de deux rapports d'expertise, dont un particulièrement lisible, la justice a visiblement du mal à comprendre les aspects techniques d'une affaire lorsque l'on parle d'informatique. Or, comme le nombre de procès dans ce domaine ne devraient -logiquement- qu'augmenter à l'avenir, cela ne rassure pas sur leur issue.
Il est parfaitement normal que les juges soient généralistes et pas spécialistes de tous les sujets sur lesquels ils sont amenés à statuer. Mais on peut espérer qu'ils aillent au fond des aspects techniques lorsque l'affaire le requière. Même avec l'aide d'experts (de bonne qualité de préférence).
Pour confirmer la condamnation de première instance, la cour rappelle que « la pratique du désassemblage d'un logiciel n'est licite » que dans certaines conditions. Elle indique par ailleurs que « l'expertise non contradictoire réalisée à la demande du la défense par Monsieur Jean-Claude Hoff n'est pas de nature à modifier la conviction de la cour ». Ce qui est bien dommage dans la mesure ou cette analyse faite par un expert incontestable du domaine démontre par A + B qu'il n'y a pas désassemblage (et soulève accessoirement quelques lièvres avec un certain humour)... Or, la décision est claire sur ce point, c'est bien parce que Guillermito a supposément désassemblé Viguard qu'il est condamné...
Pour en revenir au secteur de la sécurité informatique, contrairement à ce qu'indiquait Tegam, ce procès est bien celui de la libre recherche de bugs. Et cette dernière a perdu. Que l'on désassemble ou que l'on opte simplement pour le debuggage, il n'est plus très sûr de rechercher un bug dans un logiciel. C'est mauvais pour la sécurité des consommateurs©, mais aussi pour les logiciels propriétaires dans leur ensemble. Les consommateurs© avertis opteront dès lors peut-être plus facilement pour des logiciels libres. Il est en effet -pour l'instant- certain que ces logiciels font l'objet d'une recherche permanente de bugs (encouragée par les auteurs des programmes) et qu'ils sont patchés très rapidement.
Les éditeurs de logiciels libres peuvent donc dire merci à Tegam tandis que ceux qui éditent des logiciels propriétaires...
Quant aux tenants du dogme du full disclosure, c'est une pierre (un rocher?) dans leur jardin qui vient d'être déposée par Tegam.
La sécurité par l'obscurité n'est pas quelque chose qui effraye les membres de Kitetoa.com. Le nombre de personnes mono-neuronales pouvant exploiter les bugs publiés ayant considérablement augmenté ces dernières années, nous pensons que les groupes ADM et Security.is avaient plutôt raison lorsqu'ils avaient lancé un appel à ne plus publier.
Les aspects négatifs de l'obscurité toucheront toutefois directement les consommateurs© et non pas les experts.
Finalement, c'est toujours le même qui trinque... Et parfois, ceux qui veulent les aider...
PS: Guillermito doit s'acheter un nouvel anti-virus (à droite de la page). Il a donc ouvert une sorte de compte PayPal. Si vous avez envie de l'aider à s'acheter le logiciel de ses rêves, n'hésitez pas.
Retour au sommaire de l'affaire Tegam contre Guillermito
