[lbo-talk] If you're French or can translate....

Yoshie Furuhashi furuhashi.1 at osu.edu
Fri Mar 11 14:30:15 PST 2005


Paul paul_ at igc.org, Fri Mar 11 14:09:51 PST 2005:
>>lbo at inkworkswell.com wrote:
>>Does anyone know what the ruling was really all about? The U.S.
>>news articles make it sound as if the ruling prevents people from
>>publishing security holes in software. However, I've heard that the
>>rulling addressed the use of pirated software. Anyone in France
>>know?
>>
>>The article in English, below. The google link is for articles
>>about the story in the French media.
>>
>>http://news.com.com/France+puts+a+damper+on+flaw+hunting/2100-7350_3-5606306.html
>>
>>http://www.google.com/search?as_q=&num=20&hl=en&btnG=Google+Search&as_epq=Guillaume+Tena&as_oq=&as_eq=&lr=lang_fr&as_ft=i&as_filetype=&as_qdr=all&as_occt=any&as_dt=i&as_sitesearch=&safe=images
>
>The fellow published on the web a critique the reliability of the
>antivirus program BUT used a pirated copy to discover the flaws.
>Acording to the article he was found guilty of the narrow issue of
>using pirated software (it will not go on his record, so that he
>can get work as a govt researcher); acording to the article the
>ruling does NOT prevent publishing material about security holes.

That's what the first article in Kelley's Google link says.

"Néanmoins, le récent jugement du Tribunal Correctionnel de Paris ne porte pas sur le fond de l'affaire - un domaine sur lequel Tegam ne s'est pas encore aventuré - mais plutôt sur les méthodes employées par Guillaume Tena pour produire ses affirmations. Ainsi, le Tribunal condamne Guillermito pour avoir employé une copie pirate de Viguard. Du coup, le jugement ne semble pas remettre en cause le droit de critiquer, preuves à l'appui, les failles d'un produit. En revanche, il insiste bien sur le fait que ces preuves ne peuvent être obtenues illégalement" ("Guillaume Tena, condamné pour avoir utilisé frauduleusement Viguard," <http://www.weblmi.com/sections/articles/2005/03/guillaume_tena_cond/>).

"Nevertheless, the recent judgment of the Criminal Court of Paris does not go to the bottom of the affair -- a domain on which Tegam didn't venture yet -- but rather on the methods employed by Guillaume Tena to produce his assertions. Thus, the court convicts Guillermito for having employed a pirated copy of Viguard. So, the judgment does not appear to call the right to criticize the shortcomings of a product, with proofs to support the criticism, into question. On the other hand, it insists o the fact that proofs cannot be obtained illegally."

However, what is the definition of "a pirated copy" of software? An article about the Guillermito affiar at the K-OTik Security website (see below) says that Guillaume Tena was convicted for having disassembled or reverse-engineered Viguard (an anti-virus program) and published exploit codes that demonstrate security weaknesses of the anti-virus program. That's an action that the manufacturer of Viguard claimed was tantamount to piracy and counterfeit, and the French court apparently agreed with the company, but should the court have?

<blockquote>L'affaire remonte à 2001, quand Guillaume Tena (connu sous le pseudonyme Guillermito) identifie puis publie dans des forums spécialisés, un certain nombre d'articles décrivant les faiblesses d'un logiciel antivirus français qui, selon son éditeur, est capable d'arrêter 100% des virus.

L'éditeur de l'antivirus en question n'a pas apprécié les critiques de ce chercheur et a donc déposé plainte contre X. Mis en examen pour "contrefaçon et recel de contrefaçon", Tena se voit reprocher, entre autres, la publication d'un Proof of Concept (Exploit) "reprenant et copiant une partie de la structure/code de l'antivirus" (désassemblage), violant ainsi l'article 335.2 du code de la propriété intellectuelle. L'expert informatique désigné par le juge d'instruction a donc conclu que "le délit de contrefaçon par reproduction de logiciel était caractérisé dans la mesure où les modifications sur l'antivirus n'étaient pas effectuées par un simple utilisateur à des fins de compatibilité pour une utilisation personnelle, mais étaient réalisées par un internaute qui les communique à des tiers".

Or, la publication d'exploits ou de Proof of Concept est chose courante dans le monde de la sécurité, puisqu'ils permettent de confirmer l'existence d'un bug ou d'une faille de sécurité, et d'évaluer les risques réels qu'encourent les internautes utilisant un produit vulnérable. L'expert à précisé toutefois que "Guillaume Tena disposait de compétences indiscutables en matière virale et anti-virale, et avait dénoncé avec pertinence les failles de cet antivirus".

. . . . . . . . . . . . . . . . . . . .

Une éventuelle condamnation de Guillermito pourrait tuer la recherche et la divulgation des failles de sécurité en France, une recherche déjà "bridée" par l'article 46 de la Loi pour la confiance dans l'économie numérique (Loi n° 2004-575 du 21 Juin 2004- JO n° 143 du 22 Juin 2004).

La révélation d'une faille de sécurité nécessiterait alors, non seulement un "motif légitime", mais aussi l'accord préalable de l'éditeur ou du constructeur, une situation inimaginable et inacceptable dans tout autre domaine de recherche scientifique [imaginez le scandale si une société pharmaceutique portait plainte contre un chercheur biologiste ayant révélé, par exemple, qu'un médicament commercialisé n'était pas aussi efficace que ce que prétendait le laboratoire produisant ce médicament].

. . . . . . . . . . . . . . . . . . . .

Update :

. . . . . . . . . . . . . . . . . . . .

En créant un précédent judiciaire, cette condamnation pourrait, à l'avenir, s'avérer dangereuse pour l'ensemble des chercheurs et des professionnels de la sécurité informatique, car la publication d'une vulnérabilité ou d'un Proof of Concept à partir de recherches effectuées par reverse engineering ou par désassemblage est désormais ILLEGALE.

L'étude ou l'analyse des vulnérabilités présentes au sein d'un logiciel non Open-Source est, à partir d'aujourd'hui, interdite en France... ("Affaire Guillermito - Le full-disclosure français jugé en 2005," <http://www.k-otik.com/news/08312004.Guillermito.php>)</blockquote>

<blockquote>The affair goes back to 2001, when Guillaume Tena (known by his pseudonym Guillermito) identified and published, in specialized forums, a certain number of articles describing the weaknesses of a French anti-virus program which, according to its publisher, is capable of stopping all viruses.

The publisher of the anti-virus software in question did not appreciate criticisms of the researcher and thus lodged a complaint against X. Questioned by the examining judge for "counterfeit and concealment of counterfeit," Tena is blamed for, among others, the publication of a Proof of Concept (Exploit) "seizing and copying a part of the structure/code of the anti-virus program" (disassembly), thus violating article 335.2 of the code of intellectual property. The data-processing expert appointed by the examining judge thus concluded that "the offence of counterfeit by reproduction of software was characterized insofar as the modifications on the anti-virus program were not carried out by a simple user for compatibility for personal use, but were carried out by an Internet expert who communicates them to third parties".

But, the publication of exploits or Proof of Concept codes is a common thing in the world of computer security, since they make it possible to confirm the existence of a bug or a security weakness and to evaluate the real risks which the Net surfers using a vulnerable product incur. The expert, nevertheless, clarified that "Guillaume Tena had indisputable competencies in viral and anti-viral matters and had blew the whistle on the faults of this anti-virus program."

. . . . . . . . . . . . . . . . . . . .

A possible conviction of Guillermito could kill the research and disclosure of security weaknesses in France, a research already "restrained" by article 46 of the law for confidence in the digital economy (Law n° 2004-575 of June 21 2004- OJ n° 143 of June 22, 2004 <http://www.legifrance.gouv.fr/WAspad/UnTexteDeJorf?numjo=ECOX0200175L>).

The revelation of a security weakness would then require not only one "legitimates reason" but also prior agreement of the pubilsher or manufacturer, an unimaginable and unacceptable situation in any other field of scientific research (imagine the scandal if a pharmaceutical company lodged a complaint against a biology researcher for having revealed, for example, that a marketed drug was not as effective as he laboratory producing it claimed).

. . . . . . . . . . . . . . . . . . . .

Update:

. . . . . . . . . . . . . . . . . . . .

By creating a legal precedent, this judgment could, in the future, prove to be dangerous for all computer security researchers and professionals, because the publication of a vulnerability or Proof of Concept based on research by reverse engineering or disassembly is ILLEGALE from now on.

The study or analysis of vulnerabilities present within non-open-source software is, beginning today, prohibited in France. . . </blockquote> -- Yoshie

* Critical Montages: <http://montages.blogspot.com/> * Greens for Nader: <http://greensfornader.net/> * Bring Them Home Now! <http://www.bringthemhomenow.org/> * OSU-GESO: <http://www.osu-geso.org/> * Calendars of Events in Columbus: <http://sif.org.ohio-state.edu/calendar.html>, <http://www.freepress.org/calendar.php>, & <http://www.cpanews.org/> * Student International Forum: <http://sif.org.ohio-state.edu/> * Committee for Justice in Palestine: <http://www.osudivest.org/> * Al-Awda-Ohio: <http://groups.yahoo.com/group/Al-Awda-Ohio> * Solidarity: <http://www.solidarity-us.org/>



More information about the lbo-talk mailing list