Non, il a officiellement été condamné parce qu’il avait publié quelques lignes de code assembleur issues de la daube sus-citée, et parce qu’il n’a pas pu produire une licence d’utilisation de celui-ci. Le fait est que durant tout le procès (en première instance comme en appel) les avocats de la partie civile ont savamment entretenu la confusion entre reverse engineering et piratage (“cracking”), et ont laissé croire que Guillermito mettait gratuitement a disposition du public “des éléments du logiciel”, le procureur ayant quant a lui décidé d’adopter la confortable position suivante: “les éditeurs antivirus, c’est des gentils, donc ceux qui les critiquent doivent forcément être des méchants”.

Alors quand on sait qu’en plus le site de Guillermito était tout noir, c’était foutu d’avance…

@bluetouff
“La question est que place t-on dans des outils de piratage, et qui décide que tel ou tel code est un outil de « piratage »,”

Cela me rappelle la polémique lors de la sortie de BO2K. Le cDc disait qu’il s’agissait d’un outil d’administration à distance tandis que tous les éditeurs d’antivirus et autres spywares le classaient comme un logiciel malveillant. Peut-être parce qu’il était gratuit ?

Autre sujet amusant, les logiciels de filtrage installés dans les grandes entreprises.
Kitetoa.com a été classé sous la rubrique “sites pornographiques et déviants”, “drogue, racisme, terrorisme”, etc.

On sort du droit et on aborde des aspects philosophiques. Qui a le droit de décider pour moi de ce que j’ai le droit de lire ?

Comme je fais une petite collection de points Godwin en dilettante (depuis 9 secondes), je vous dirais que le fait de lire Mein Kampf n’implique pas que j’adhère à ce type d’élucubrations malsaines. Le fait que je lise le contenu des mails adressés au Front National entre les deux tours de 2002 n’implique pas que je devienne raciste. Et pourtant il y a des P.O.C et des exploits dans ces mails qui pourraient me transformer. On ne sait jamais…

@Ludovic Petit
“Mais une question subsiste: « Est-il légal de laisser les éditeurs de logiciels, d’OS, etc. vendre des solutions non suffisament sécurisées car non suffisament contrôlées au niveau du développement lui-même? ».”

Intéressant… Il est plus facile de poursuivre une personne qui a utilisé un logiciel sans licence (Affaire Guillermito) qu’un éditeur de logiciels qui vend, pour des raisons marketing, des produits pas finis. Lesdits produits étant truffés de bugs, des millions de dollars sont gaspillés par les clients utilisant ces logiciels pour patcher, mettre à jour, maintenir, protéger…

Le jour où l’on recherchera la responsabilité de l’entreprise responsable de la présence de failles dans un logiciel plutôt que celui qui diffuse de l’information (avec ou sans poc/exploit) on aura peut-être une hausse conséquente du niveau général de sécurité ?

De même, si au lieu de chercher à condamner le pirate (l’un n’étant pas exclusif de l’autre), on cherchait à condamner l’entreprise qui a laisseé filer des millions de numéros de cartes bancaires (données personnelles en général), les entreprises qui les collectent mettraient peut-être plus d’argent au pot pour les protéger…

Le terme “des écrits” est assez large puisqu’il englobe non seulement les exploits mais aussi les documents techniques, des articles dans des revues et des magazines, des livres, les comptes rendus de conférences de sécurité, etc.

La décision de la cour de cassation est donc beaucoup plus large que celle de la cour d’appel, d’où la profonde inquiétude de la profession.

Mais le débat de fond reste néanmoins.

On se rend donc bien compte tant de l’importance d’une réelle expérience Sécurité, Technique, Opérationnelle, Stratégique, Business, que de l’approche légale et règlementaire indipensables de nos jours pour être à même d’appréhender la Sécurité dans son ensemble.

Posts intéressants! Merci