Tegam versus Guillermito: petites réflexions à 2 cents d'euro sur le résultat du procès Tegam versus Guillermito
Que reste-t-il de nos amours, disait l'autre.
Que reste-t-il de nos inimitiés? C'est la question que devrait se poser Tegam ce soir.
L'éditeur d'un logiciel (Viguard) visant à protéger ses utilisateurs contre beaucoup de malheurs passés, présents et futurs a poursuivi en justice Guillermito, chercheur en biologie moléculaire, histoire de lui enlever le goût de la critique. Ce dernier avait dénoncé les arguments marketing de Tegam (protège à 100% des virus passés, présents et futurs sans signatures). Il y était fort bien parvenu. Preuves à l'appui. Tegam n'avait pas aimé. Procès il y a quelques temps. Délibéré ce jour. Guillermito est condamné à une amende avec sursis de 5000 euros. En clair, il n'a rien à payer. Comme dit l'éminent avocat blogueur Eolas, il s'agit d'une « relaxe Canada Dry ». Laissons aux juristes le soin de commenter les aspects juridiques de cette condamnation.
En revanche, il n'est pas inutile de regarder ce qu'il reste de tout cela. Pour Tegam, pour le secteur de la sécurité informatique et pour le consommateur©.
Pour Tegam...
La société avait porté plainte contre X pour diffamation et injures et pour contrefaçon.
Afin de démontrer le bien-fondé de sa plainte, Tegam avait d'ailleurs fourni un tableau de 16 pages retraçant toutes les citations des posts de Guillermito dans Usenet qui « portaient atteinte » à Viguard et Tegam. On y trouvait toutes sorte de phrases complètement sorties de leur contexte. Ne parlons pas des dizaines et des dizaines de posts, issus de Google Groups, imprimés avec soin et qui figurent dans le dossier d'instruction. Google est visiblement une sorte de bible pour Tegam.
Lorsque la mise en examen de Guillemito a été connue, le webmaster de Kitetoa s'est fendu d'un coup de fil à Danielle Kaminsky (puis d'un déjeuner) et à Marc Dotan. Et de deux articles dans Transfert.
Que disaient à l'époque Tegam et ses salariés? Que Tegam n'avait pas forcément saisi la justice. Il se trouve que si. Qu'il s'agissait d'une affaire très complexe et très vaste. Qu'il était impossible pour quelqu'un d'extérieur d'en saisir les contours. Il se trouve que ce n'est pas le cas puisque l'on a ici une banale plainte pour contrefaçon.
Les injures et la diffamation n'ont été retenues par personne. Ni par la doyenne des juges d'instruction qui a reçu la plainte, ni par les policiers, ni par la juge d'instruction qui a instruit le dossier.
A tel point que la doyenne des juges d'instruction a conseillé « vivement » à Tegam de ne pas se fourvoyer avec cette histoire d'injures et de diffamation. Conseil suivi puisque le 17 septembre 2002, Tegam et Eyal Dotan se désistent pour ces faits (diffamation et injures). La plainte datait de juin 2002. La consignation de novembre 2002.
Où est passée, dans ce procès, la « véritable guerre commerciale » contre Tegam à laquelle se serait livré Guillermito, selon les termes de Danielle Kaminsky lors de son audition par la juge d'instruction?
Bref, Pchiiiit généralisé comme dirait notre président.
Avec ses méthodes de communication, Tegam a réussi à se couvrir de ridicule. En traitant Guillermito de « terroriste informatique connu de la DST et du FBI » sans apporter le moindre début de preuve étayant une telle accusation, en communiquant des informations sans aucun rapport avec le procès en cours au Virus Informatique afin de tenter de ternir l'image de Guillermito en pleine instruction, Tegam s'est discrédité.
Avec une demande de dommages et intérêts de 900.000 euros pour réparer les effets supposés de la publication d'une faille, comme on en voit des milliers dans BugTraq, Tegam démontre à ceux qui en doutaient qu'elle n'est décidément pas au fait des usages du monde de la sécurité informatique.
A part quelques journaux dans lesquels Tegam est un annonceur régulier, tous les articles parus sur cette affaire sont négatifs pour Tegam. Que reste-t-il donc des inimitiés de Tegam? Un champ de ruine en termes de réputation. La publicité donnée par ce procès à une lettre de dénonciation de Guillermito et de Roland Garcia auprès du CNRS, signée par Marc Dotan est, à notre avis, une vraie catastrophe en termes d'image.
Pour le secteur de la sécurité informatique
La problématique est double. D'une part, le secteur de la sécurité informatique, dont Tegam veut à tout prix faire partie, est éclaboussé par les méthodes peu orthodoxes de cette petite entreprise familiale. D'autre part, le résultat de ce procès aura un impact non négligeable sur les méthodes de diffusion de l'information en matière de sécurité informatique dans notre pays.
Les lettres de dénonciation ou les publicités « pleine page » dans la presse qualifiant un chercheur en biologie moléculaire à Harvard de « terroriste informatique connu du FBI et de la DST » ne sont pas légion dans le secteur. Pourtant, Tegam est présente dans de nombreux colloques spécialisés et ses salariés ont publié des articles dans plusieurs journaux spécialisés. Des gens sérieux et respectables du secteur de la sécurité informatique leur ont donc donné, probablement involontairement, une visibilité et une forme de crédibilité.
La condamnation de Guillermito à 5000 euros d'amende avec sursis pose un problème évident pour les gens qui publient des informations concernant la sécurité des logiciels et plus largement des systèmes d'information. Elle crée un risque juridique permanent pour ces professionnels.
Kitetoa.com n'est certainement pas un repaire d'informaticiens et encore moins de spécialistes (sur le plan technique) de la sécurité informatique. Mais nous avons suivi de très près depuis des années (comme on est des papys, on peut dire depuis avant l'arrivée du Web) les problématiques liées à la sécurité des systèmes d'information. D'abord pour les banques et les systèmes de paiements, puis pour les technologies liées à Internet. Nous ne nous en cachons pas, nous avons entretenu de bonnes relations avec plusieurs groupes de spécialistes de la sécurité informatique comme Rhino9, ADM, avec des individus comme RFP, K2, Fyodor, Marc Maiffret, et des société de sécurité informatique comme Edelweb ou eEye.
Tous se sont distingués un jour ou l'autre par la publication de failles monumentales ayant des implications très importantes sur le plan de la sécurité informatique. Tous n'ont pas évolué de la même manière. ADM par exemple avait lancé un appel à ce que la publication de faille soit arrêtée (concept d'obscurité par opposition au full disclosure). L'idée étant que la publication des failles génère une exploitation desdites failles avec des répercussions graves. Exemple: la plupart des virus et autres vers qui sont apparus ces dernières années sont basés sur des failles publiées par eEye. D'autres comme RFP ont commencé par publier une méthode de diffusion d'informations relatives aux failles de sécurité (la RFPolicy est un texte fondateur dans ce domaine, auquel les responsables de BugTraq avaient participé) avant de « disparaître ». Tous se trouveraient ce soir, s'ils vivaient en France, dans une situation délicate. Car leurs alertes de sécurité risqueraient bien de leur valoir le même genre de procès que celui que Guillermito vient de vivre.
En outre, comme nous l'avions écrit, désormais, le CERT-A ferait bien de réfléchir à deux fois avant de véhiculer une alerte de sécurité rédigée par un « terroriste informatique ». Il pourrait dans l'absolu, être poursuivi pour recel de contrefaçon. Et si en plus il y a un Proof of Concept...
Pour le consommateur©
Toi, mon vieux... tu vas probablement en baver.
;)
Tu pensais, gentil consommateur©, que des gens veillaient pour toi dans l'ombre, histoire de te dire si tel ou tel produit est défectueux? Tu croyais au mythe des gentils hackers qui testent la sécurité et la pertinence des produits informatiques? Et bien ce temps-là est révolu. Tu es tout seul. Seul avec les messages publicitaires et marketing des sociétés qui commercialisent ces logiciels. Parce que ceux qui prendraient le risque de prouver que ces logiciels sont faillibles seraient désormais bien... cons.
Retour au sommaire de l'affaire Tegam contre Guillermito
