[lbo-talk] If you're French or can translate....

[Yoshie Furuhashi]

Paul paul_ at igc.org, Fri Mar 11 14:09:51 PST 2005:
>>lbo at inkworkswell.com wrote:
>>Does anyone know what the ruling was really all about? The U.S. 
>>news articles make it sound as if the ruling prevents people from 
>>publishing security holes in software. However, I've heard that the 
>>rulling addressed the use of pirated software. Anyone in France 
>>know?
>>
>>The article in English, below. The google link is for articles 
>>about the story in the French media.
>>
>>http://news.com.com/France+puts+a+damper+on+flaw+hunting/2100-7350_3-5606306.html
>>
>>http://www.google.com/search?as_q=&num=20&hl=en&btnG=Google+Search&as_epq=Guillaume+Tena&as_oq=&as_eq=&lr=lang_fr&as_ft=i&as_filetype=&as_qdr=all&as_occt=any&as_dt=i&as_sitesearch=&safe=images
>
>The fellow published on the web a critique the reliability of the 
>antivirus  program BUT used a pirated copy to discover the flaws. 
>Acording to the  article he was found guilty of the narrow issue of 
>using pirated software  (it will not go on his record, so that he 
>can get work as a govt  researcher); acording to the article the 
>ruling does NOT prevent publishing material about security holes.

That's what the first article in Kelley's Google link says.

"Néanmoins, le récent jugement du Tribunal Correctionnel de Paris ne 
porte pas sur le fond de l'affaire - un domaine sur lequel Tegam ne 
s'est pas encore aventuré - mais plutôt sur les méthodes employées 
par Guillaume Tena pour produire ses affirmations. Ainsi, le Tribunal 
condamne Guillermito pour avoir employé une copie pirate de Viguard. 
Du coup, le jugement ne semble pas remettre en cause le droit de 
critiquer, preuves à l'appui, les failles d'un produit. En revanche, 
il insiste bien sur le fait que ces preuves ne peuvent être obtenues 
illégalement" ("Guillaume Tena, condamné pour avoir utilisé 
frauduleusement Viguard," 
<http://www.weblmi.com/sections/articles/2005/03/guillaume_tena_cond/>).

"Nevertheless, the recent judgment of the Criminal Court of Paris 
does not go to the bottom of the affair -- a domain on which Tegam 
didn't venture yet -- but rather on the methods employed by Guillaume 
Tena to produce his assertions.  Thus, the court convicts Guillermito 
for having employed a pirated copy of Viguard.  So, the judgment does 
not appear to call the right to criticize the shortcomings of a 
product, with proofs to support the criticism, into question.  On the 
other hand, it insists o the fact that  proofs cannot be obtained 
illegally."

However, what is the definition of "a pirated copy" of software?  An 
article about the Guillermito affiar at the K-OTik Security website 
(see below) says that Guillaume Tena was convicted for having 
disassembled or reverse-engineered Viguard (an anti-virus program) 
and published exploit codes that demonstrate security weaknesses of 
the anti-virus program.  That's an action that the manufacturer of 
Viguard claimed was tantamount to piracy and counterfeit, and the 
French court apparently agreed with the company, but should the court 
have?

<blockquote>L'affaire remonte à 2001, quand Guillaume Tena (connu 
sous le pseudonyme Guillermito) identifie puis publie dans des forums 
spécialisés, un certain nombre d'articles décrivant les faiblesses 
d'un logiciel antivirus français qui, selon son éditeur, est capable 
d'arrêter 100% des virus.

L'éditeur de l'antivirus en question n'a pas apprécié les critiques 
de ce chercheur et a donc déposé plainte contre X. Mis en examen pour 
"contrefaçon et recel de contrefaçon",  Tena se voit reprocher, entre 
autres, la publication d'un Proof of Concept (Exploit) "reprenant et 
copiant une partie de la structure/code de l'antivirus" 
(désassemblage), violant ainsi l'article 335.2 du code de la 
propriété intellectuelle. L'expert informatique désigné par le juge 
d'instruction a donc conclu que "le délit de contrefaçon par 
reproduction de logiciel était caractérisé dans la mesure où les 
modifications sur l'antivirus n'étaient pas effectuées par un simple 
utilisateur à des fins de compatibilité pour une utilisation 
personnelle, mais étaient réalisées par un internaute qui les 
communique à des tiers".

Or, la publication d'exploits ou de Proof of Concept est chose 
courante dans le monde de la sécurité, puisqu'ils permettent de 
confirmer l'existence d'un bug ou d'une faille de sécurité, et 
d'évaluer les risques réels qu'encourent les internautes utilisant un 
produit vulnérable. L'expert à précisé toutefois que "Guillaume Tena 
disposait de compétences indiscutables en matière virale et 
anti-virale, et avait dénoncé avec pertinence les failles de cet 
antivirus".

. . . . . . . . . . . . . . . . . . . .

Une éventuelle condamnation de Guillermito pourrait tuer la recherche 
et la divulgation des failles de sécurité en France, une recherche 
déjà "bridée" par  l'article 46 de la Loi pour la confiance dans 
l'économie numérique (Loi n° 2004-575 du 21 Juin 2004- JO n° 143 du 
22 Juin 2004).

La révélation d'une faille de sécurité nécessiterait alors, non 
seulement un "motif légitime", mais aussi l'accord préalable de 
l'éditeur ou du constructeur, une situation inimaginable et 
inacceptable dans tout autre domaine de recherche scientifique 
[imaginez le scandale si une société pharmaceutique portait plainte 
contre un chercheur biologiste ayant révélé, par exemple, qu'un 
médicament commercialisé n'était pas aussi efficace que ce que 
prétendait le laboratoire produisant ce médicament].

. . . . . . . . . . . . . . . . . . . .

Update :

. . . . . . . . . . . . . . . . . . . .

En créant un précédent judiciaire, cette condamnation pourrait, à 
l'avenir, s'avérer dangereuse pour l'ensemble des chercheurs et des 
professionnels de la sécurité informatique, car la publication d'une 
vulnérabilité ou d'un Proof of Concept à partir de recherches 
effectuées par reverse engineering ou par désassemblage est désormais 
ILLEGALE.

L'étude ou l'analyse des vulnérabilités présentes au sein d'un 
logiciel non Open-Source est, à partir d'aujourd'hui, interdite en 
France...  ("Affaire Guillermito - Le full-disclosure français jugé 
en 2005," 
<http://www.k-otik.com/news/08312004.Guillermito.php>)</blockquote>

<blockquote>The affair goes back to 2001, when Guillaume Tena (known 
by his pseudonym Guillermito) identified and published, in 
specialized forums, a certain number of articles describing the 
weaknesses of a French anti-virus program which, according to its 
publisher, is capable of stopping all viruses.

The publisher of the anti-virus software in question did not 
appreciate criticisms of the researcher and thus lodged a complaint 
against X. Questioned by the examining judge for "counterfeit and 
concealment of counterfeit," Tena is blamed for, among others, the 
publication of a Proof of Concept (Exploit) "seizing and copying a 
part of the structure/code of the anti-virus program" (disassembly), 
thus violating article 335.2 of the code of intellectual property. 
The data-processing expert appointed by the examining judge thus 
concluded that "the offence of counterfeit by reproduction of 
software was characterized insofar as the modifications on the 
anti-virus program were not carried out by a simple user for 
compatibility for personal use, but were carried out by an Internet 
expert who communicates them to third parties".

But, the publication of exploits or Proof of Concept codes is a 
common thing in the world of computer security, since they make it 
possible to confirm the existence of a bug or a security weakness and 
to evaluate the real risks which the Net surfers using a vulnerable 
product incur. The expert, nevertheless, clarified that "Guillaume 
Tena had indisputable competencies in viral and anti-viral matters 
and had blew the whistle on the faults of this anti-virus program."

. . . . . . . . . . . . . . . . . . . .

A possible conviction of Guillermito could kill the research and 
disclosure of security weaknesses in France, a research already 
"restrained" by article 46 of the law for confidence in the digital 
economy (Law n° 2004-575 of June 21 2004- OJ n° 143 of June 22, 2004 
<http://www.legifrance.gouv.fr/WAspad/UnTexteDeJorf?numjo=ECOX0200175L>).

The revelation of a security weakness would then require not only one 
"legitimates reason" but also prior agreement of the pubilsher or 
manufacturer, an unimaginable and unacceptable situation in any other 
field of scientific research (imagine the scandal if a pharmaceutical 
company lodged a complaint against a biology researcher for having 
revealed, for example, that a marketed drug was not as effective as 
he laboratory producing it claimed).

. . . . . . . . . . . . . . . . . . . .

Update:

. . . . . . . . . . . . . . . . . . . .

By creating a legal precedent, this judgment could, in the future, 
prove to be dangerous for all computer security researchers and 
professionals, because the publication of a vulnerability or Proof of 
Concept based on research by reverse engineering or disassembly is 
ILLEGALE from now on.

The study or analysis of vulnerabilities present within 
non-open-source software is, beginning today, prohibited in France. . 
. </blockquote>
-- 
Yoshie

* Critical Montages: <http://montages.blogspot.com/>
* Greens for Nader: <http://greensfornader.net/>
* Bring Them Home Now! <http://www.bringthemhomenow.org/>
* OSU-GESO: <http://www.osu-geso.org/>
* Calendars of Events in Columbus: 
<http://sif.org.ohio-state.edu/calendar.html>, 
<http://www.freepress.org/calendar.php>, & <http://www.cpanews.org/>
* Student International Forum: <http://sif.org.ohio-state.edu/>
* Committee for Justice in Palestine: <http://www.osudivest.org/>
* Al-Awda-Ohio: <http://groups.yahoo.com/group/Al-Awda-Ohio>
* Solidarity: <http://www.solidarity-us.org/>