Copy Link
Add to Bookmark
Report
Chaos Digest Volume 01 Numero 73
Chaos Digest Jeudi 5 Aout 1993 Volume 1 : Numero 73
ISSN 1244-4901
Editeur: Jean-Bernard Condat (jbcondat@attmail.com)
Archiviste: Yves-Marie Crabbe
Co-Redacteurs: Arnaud Bigare, Stephane Briere
TABLE DES MATIERES, #1.73 (5 Aout 1993)
File 1--"Faut-il crucifier Condat?" par Jack Tajtelbom (sensationnel)
Chaos Digest is a weekly electronic journal/newsletter. Subscriptions are
available at no cost by sending a message to:
linux-activists-request@niksula.hut.fi
with a mail header or first line containing the following informations:
X-Mn-Admin: join CHAOS_DIGEST
The editors may be contacted by voice (+33 1 47874083), fax (+33 1 47877070)
or S-mail at: Jean-Bernard Condat, Chaos Computer Club France [CCCF], B.P.
155, 93404 St-Ouen Cedex, France. He is a member of the EICAR and EFF (#1299)
groups.
Issues of ChaosD can also be found from the ComNet in Luxembourg BBS (+352)
466893. Back issues of ChaosD can be found on the Internet as part of the
Computer underground Digest archives. They're accessible using anonymous FTP:
* kragar.eff.org [192.88.144.4] in /pub/cud/chaos
* uglymouse.css.itd.umich.edu [141.211.182.53] in /pub/CuD/chaos
* halcyon.com [192.135.191.2] in /pub/mirror/cud/chaos
* ftp.cic.net [192.131.22.2] in /e-serials/alphabetic/c/chaos-digest
* cs.ubc.ca [137.82.8.5] in /mirror3/EFF/cud/chaos
* nic.funet.fi [128.214.6.100] in /pub/doc/cud/chaos
* orchid.csv.warwick.ac.uk [137.205.192.5] in /pub/cud/chaos
CHAOS DIGEST is an open forum dedicated to sharing French information among
computerists and to the presentation and debate of diverse views. ChaosD
material may be reprinted for non-profit as long as the source is cited.
Some authors do copyright their material, and they should be contacted for
reprint permission. Readers are encouraged to submit reasoned articles in
French, English or German languages relating to computer culture and
telecommunications. Articles are preferred to short responses. Please
avoid quoting previous posts unless absolutely necessary.
DISCLAIMER: The views represented herein do not necessarily represent
the views of the moderators. Chaos Digest contributors
assume all responsibility for ensuring that articles
submitted do not violate copyright protections.
----------------------------------------------------------------------
Date: 27 May 93 03:59:59 GMT
From: cccf@altern.com (Jean-Bernard Condat )
Subject: File 1--"Faut-il crucifier Condat?" par Jack Tajtelbom (sensationnel)
Reprint from: 'Reponse Micro', no. 11, Aout-Sept. 93, pp. 122-26
[Cover Page: <picture> La folle histoire du CCCF et de son fondateur]
Confessions d'un hacker sous surveillance
FAUT-IL CRUCIFIER CONDAT?
Interview
+----------------------------------------------------------------------------+
| Vingt-sept ans, consultant dans une grande societe de services specialisee |
| Jean-Bernard Condat, popularise par de nombreux passages tele, est |
| surtout connu comme secretaire general du Chaos Computer Club de |
| France; un groupe quasiment occulte, compose de genies informatiques |
| capables de percer les meilleurs systemes. Mais dans quel but? Pirater |
| ou moraliser? C'est ce que nous avons essaye de savoir. |
+----------------------------------------------------------------------------+
En 1991, Jean-Bernard Condat a les honneurs de la grande presse. On l'
empeche de faire une demonstration dans l'emission _Mardi Soir_, sur A2, ou
il avait promis de penetrer des fichiers bancaires. Deux jours plus tard,
dans les locaux de _France Soir_, il rentre dans les systemes informatiques
de la CEE et de la NASA. Parallelement, il est accuse par France Telecom
d'avoir pirate ses banques de donnees internationales, avec l'aide d'un
technicien qui lui aurait fourni les codes. France Telecom lui reclame
250000 francs. Deux ans apres, l'affaire n'est toujours pas jugee. Mais
Condat, sous controle judiciaire et sous astreinte financiere, etroitement
surveille, et psychologiquement epuise, refuse toujours de se taire.
RM: Commencons par votre parcours. Comment etes-vous rentre dans ces reseaux
d'information, comment vous etes-vous interesse a l'informatique, et puis
a la formation?
JBC: J'ai eu mon bac a seize ans et demi. A cette epoque, je ne faisais pas
d'informatique. Je suis monte a Lyon pour faire de l'acoustique, avec un
seul "c". Mon prof de physique musicale ecrivait "accoustique", avec deux
"c"... Cette erreur m'a fait prendre conscience que pour faire de la
musicologie - musique-au-logis, comme marechal-des-logis - en fait il
suffisait de gratouiller une guitare. Je me suis dit: "Stop, on va etre
plus serieux." Et cela m'a amene a faire Math sup et Math spe et a
m'interesser Ptout en poursuivant mon doctoratP a quelque chose de plus
rigoureux: l'etude des outils permettant de transmettre l'information.
A l'IUT de Lyon, j'ai decouvert le Cobol, les machines (Commodore 64), etc
J'etais un eleve turbulent, foncierement penible, totalement asocial. A
l'epoque, j'avais envie de savoir pourquoi l'outil informatique ne servait
a rien. C'est comme un stylo Mont-Blanc, pas fait pour autre chose que de
se trouver pose a l'horizontale sur la table. L'outil, il faut savoir s'en
servir, l'appliquer a quelque chose. L'informatique doit s'appliquer.
Bizarrement, en France, l'informatique ne s'appliquait qu'a la gestion.
On passait des BTS d'informatique de gestion. A l'epoque, on n'avait pas
de minitel. Et apparaissaient a ce moment des maladies ou des instruments
bizarres, comme les lunettes pour informaticiens. Je me suis rendu compte
que l'informatique pouvait bouffer les organes. Elle peut vous manger les
yeux a force de regarder l'ecran. Je me suis dit: "Pourquoi ne pas etudier
tous ces elements-la?" Et alors est arrive un incident que personne
pratiquement n'a rapporte: un jour, le fils d'un banquier suisse de Geneve,
autiste, me voit passer a la tele... Il trouve ca genial, dit deux ou trois
mots devant ses parents. Il avait a peu pres treize ans, et le pere, qui
ne l'avait jamais entendu parler, me fait rechercher. Il me retrouve.
Depuis ce moment, j'ai vu que les jeux video pouvaient soigner les
deficiences parlees ou emotives. J'ai pense: "C'est bizarre, l'informatique
peut detruire tes yeux, tout comme les notes de musique (je suis organiste),
mais aussi reparer, comme ce gosse." Au bout d'une annee, en jouant avec
lui toutes les 2/3 semaines pendant un week-end entier, on etait arrive
a lui rendre une dignite, la dignite de la parole. C'est a ce moment, avec
quatre copains, en psycho, en psychiatrie - aucun en informatique - que
nous avons cree un groupe. On ne trouvait pas de nom. On a reflechi, et
on est tombe sur une publication du Chaos Computer Club de Hambourg. Et
on a trouve que "CCC France," ca convenait pour reveiller plusieurs
notions: attention, l'informatique c'est dangereux; ca peut casser; ca
peut reparer... C'est un outil qui peut etre aussi bien tres bon que tres
mauvais. Pour creer ce groupe, on a commence a quatre, de la faculte
catholique de Lyon. Et on a eu les pires incidents de la planete parce
qu'on s'interessait a un milieu frequente par plusieurs types: les gentils
et les mechants. Qui sont les gentils? Tous ceux qui traquent les mechants.
Et les mechants, ce sont tous ceux qui soi-disant volent, "hackent,
swappent, freakent". Le swapping, c'est le piratage des logiciels. Le
hacking, c'est s'introduire dans les gros systemes, les banques de donnees.
Et le freaking, c'est comment arriver, depuis n'importe quelle cabine
telephonique, et sans carte, a telephoner partout dans le monde. Si on
etudie cela, ce n'est pas pour faire mieux qu'eux, les recenser, ou apporter
aux services secrets de quoi les aider a travailler. Nous, on essaie 1) de
former 2) d'informer 3) de prevenir. On le fait en disant aux grands
utilisateurs quelles sont les faiblesses de leurs systemes, de leur
approche, de leur methodologie, etc. Quand je vois, par exemple, un
organisme qui verse de l'argent a des personnes necessiteuses, la Caisse
d'Allocations Familiales de Vesoul qui a paye deux fois le RMI a 22000
personnes au mois de mai... Comment imaginer la recuperation du deuxieme
versement?
RM: Sur les versements ulterieurs...
JBC: Sur 22000 personnes necessiteuses! En voyant cela, elles se sont dit:
"Merci, Seigneur!" Comment vous allez leur arracher? Il va y avoir des
cris et des grincements de dents. Nous, ce qu'on souhaiterait pour eviter
ce genre de situation c'est, non pas stopper, on ne peut pas stopper une
erreur humaine ou informatique, mais prevenir, porter une reflexion. Autre
exemple, les ambulances de Londres. Ils ont change leur systeme a fiches,
entierement manuel, par un nouveau, informatise. Seul probleme, cela s'est
fait avec tellement de douleur qu'il y a eu quarante-sept morts! 47
personnes qu'on n'a pas pu sauver parce que le systeme etait mal regule
par rapport a l'ancienne methode.
Nous, nous aimerions trouver ce petit aspect humain, adapte a la France, et
securiser les fameux systemes d'informations. Y compris pour l'acces: la
CNIL n'est qu'une soupape de securite. Nous aimerions apporter notre
opinion. Cela ne peut etre que tres mal vu par tous les facteurs et les
elements que constitue la chaine de securisation, en partant du
constructeur, l'utilisateur, le pirate, etc., mal vu par beaucoup de monde
parce qu'on leur mange des reflexions. On detourne leur flot de profits.
Vous imaginez que si on dit: "Aie, votre systeme..." Une centaine de
personnes ne travaillent plus pendant trois mois. Donc, on nous reproche
de casser du sucre, de brader le marche, de dire ce qu'il ne faut pas dire.
Alors, depuis tres peu de temps, on ne dit rien. On est tellement bride
qu'on ne dit absolument plus rien. Donc reponse, pas micro, mais reponse
mini.
RM: Parlez-moi encore de la genese de ce groupe. Il n'est malgre tout pas
innocent de s'appeler Chaos Computer Club...
JBC: On s'appelle Chaos Computer Club France.
RM: Bien sur, mais c'est une subtilite semantique qui ne fait pas oublier
que le CCC, c'est aussi Hambourg.
JBC: CCC, c'est Hambourg. CCCF, c'est nous. Ca, c'est clair. Ce sont deux
structures totalement separees. Mais semantiquement, on a bien recherche
a ce que l'une evoque l'autre.
RM: Pour proteger les systemes, il faut bien les connaitre. C'est a double
tranchant. Il faut pouvoir rentrer dedans - ce qu'on vous a reproche
plusieurs fois - et apprendre a les proteger pour que d'autres n'y rentrent
plus.
JBC: Comment font les constructeurs et les consultants en securite
informatique? On ne fait pas autrement qu'eux, mais nous, on n'a pas leurs
moyens... on n'intervient pas sur la vie des gens, on n'utilise pas
abusivement la liste rouge. On ne pietine pas la vie de certaines personnes
privees. On ne les assigne pas dans des histoires foireuses en les
inculpant pendant deux ans. Pourquoi, alors, fait-on taire les personnes?
RM: Est-ce que, justement, ce n'est pas parce que vous etes independants?
Vous ne dependez pas des Telecom.
JBC: On est 72, on recoit 1800 lettres par semaine, mais on est independants.
Nous ne sommes pas une association mais un groupe de fait.
RM: Est-ce que ce n'est pas cela qui les gene? On ne peut pas vous controler.
JBC: Pourquoi? Mais le Clusif (Club de la securite informatique francaise)
a ete tres longtemps une association de fait. Puis ils se sont mis a faire
une association type loi 1901. Mais ils ont vecu, je pense, le meilleur de
leur vie en etant un groupe comme nous. Donc, votre argumentation, on peut
l'appliquer aussi au Clusif, le plus grand club.
RM: Qui en faisait partie?
JBC: Les responsables de la securite de toutes les plus grandes entreprises
francaises, celles qui ont du fric et qui payent.
RM: Donc des gens...
JBC: Au-dessous de tout soupcon! Nous, on est aux ordres de notre conscience:
ne pas casser, ne generer que du bien. C'est notre but. On n'est pas la
pour embeter quiconque. Ils ne l'ont pas compris. On est la pour faire
avancer le schmilblic, diffuser une information que personne n'arrive a
obtenir. On fait connaitre des produits de securite francais, des
services... Par exemple, on dit que le marquage des ordinateurs est
inutile. Certaines societes s'amusent a marquer, avec une plaquette
"anti-arrachable", les ordinateurs. Mais si je marque un parc de cent
micros, cela va me couter une fortune. Si un voleur me prend ma machine,
qu'est-ce que vous voulez qu'il en fasse de ce marquage? Il le vole avec.
Donc, je dis clairement que le marquage des moyens informatiques ne sert
a rien. Nous denoncons cet abus total. A une certaine epoque, pour utiliser
les cartes Pastel, il fallait dicter le numero de la carte, qui
correspondait au numero de telephone, et le code secret, suivi du numero
du correspondant. Vous imaginez bien qu'il y a eu des milliers de petits
freakers qui s'amusaient, dans le hall des grands hotels du monde entier,
a ecouter: "Bonjour, c'est une communication par carte Pastel
internationale, voici mon numero, mon code secret, le numero que je veux
appeler..." Imaginez-vous qu'en six minutes de demonstration, avec une
grande chaine de tele (FR3), j'en ai recolte six ou sept, dans le hall de
l'hotel Hilton a Paris. En ne faisant rien. C'est ce qu'on veut prevenir.
Une chose tres amusante, par exemple: dans le Numeris, le telex n'est pas
integre. Autre exemple: il existe des Actel, agences France Telecom, dans
lesquelles les mots de passe des serveurs de demonstration se trouvent
graves sur les minitels qui servent aux demonstrations. Transpac offre
un service, Atlas 400, non connectable a Internet. Donc, les 4739 users
d'Atlas 400 sont des grands comptes qui s'echangent entre eux a grands
frais des messages, on se demande pourquoi... Si ce n'est pour remplir
les caisses de Transpac, mais certes pas dans un but d'efficacite. En plus,
les enveloppes electroniques d'Atlas sont tres mal faites, du moins
tellement complexes qu'on s'amuse... Et la convivialite du service est a se
tordre de rire. Exemple, pour lire les messages, c'est pas Read, ou R, ou
Envoi; c'est LIRMES. Comment vider sa Boite aux lettres? C'est pas Delete
all, ou "supprime les tous"; c'est VIDBAL... C'est clair... Et comment se
deconnecter du serveur? Par une coupure a chaud! Clac! Parce que la
commande Quit, ou End, n'existe pas. C'est pas serieux. Heureusement, les
petits serveurs comme Altern en 3616, ou Email en 3617 remedient avec
beaucoup d'elegance a cette lacune. Et quand on demande a Transpac pourquoi
Atlas 400 n'est pas accessible, ils repondent que c'est parce qu'ils ne
savent pas refacturer le service a leurs utilisateurs.
Au CCCF nous ne sommes que 72, on ne peut pas etre plus dans notre groupe...
On les prend a la sortie de Polytechnique, generalement ils sont membres
de la Mensa, sains de corps et d'esprit, ayant de quoi vivre largement
au-dessus de leurs moyens, et moi je suis la carotte. Moi, je suis
secretaire general, je suis la pour parler et emettre, mais je suis le
plus con de tous. En informatique, je ne sais rien. Je ne suis pas la
cheville ouvriere, mais la reine (ou le roi) visible de l'essaim.
RM: Cet aspect mediatique, deja, c'est une garantie...
JBC: Vous avez compris la finalite. Quand on a annonce, une fois, qu'un virus
nomme Daniela, avec un petit moteur d'inference, une base de donnees, une
base de connaissances, allait sortir, Remi Bellon, de l'AFP, a fait une
depeche de 350 mots pour l'expliquer. Ca a tellement tripatouille les gens
que le virus, on ne l'a jamais vu, sauf dans les archives des
"virusologues".
RM: Le virus n'existait pas?
JBC: Si. Mais on est arrive a trouver la parade qui bloquait son vecteur de
propagation. Et on n'a pu le faire que grace a cette depeche, qui a genere
une centaine d'articles. Alors, quand on m'interdit de me presenter sur
les lieux des JO d'Albertville, parce que je risque de troubler la securite
de ce site a ce moment-la, cela fait sourire. Parce que je ne vois pas en
quoi ma petite personne aurait pu troubler l'immense realisation des JO.
Qu'aurais-je pu faire, alors que je ne suis qu'un pauvre petit degenere
qui ne fait qu'appater le petit hacker, le Rambo du minitel, alors que moi
je ne programme pas, je ne fais pratiquement rien. C'est pas moi qui me
coltine chaque jour la redaction d'un bulletin de 51000 octets, qui est
diffuse a 1400 responsables de la securite informatique, parmi lesquels
la NASA, Interpol, tout le monde. Alors, soyons raisonnable...
RM: Est-ce que le systeme est raisonnable?
JBC: Le systeme doit, de temps en temps, ne pas etre raisonnable. Et sans
ecraser des libertes, soit individuelles, soit collectives. Notre but,
c'est aussi de montrer que la France sait se realiser dans ces points-la.
Et nous devons aussi avoir un phare, qui s'appelle le CCCF, ou autre, qui
doit etre, pour la Communaute internationale, la reference du piratage en
France. Pourquoi? Il y en a dans tous les pays, mais il n'y en avait pas
en France. Nous l'avons cree pour focaliser l'attention. Nous n'avons pas
de CERT (Computer Emergency Recognizement Team - Centre de signalisation
des evenements informatiques) pour signaler les ambulances de Londres ou
la CAF de Vesoul, non cites dans la presse, si ce n'est dans Chaos Digest,
mais nous voulons que les specialistes puissent etudier et avoir plus de
billes pour repondre aux questions qui se presentent a eux. Nous ne sommes
ni un organisme de piratage, ni d'anti-piratage. On etudie sur le plan
sociologique, psychologique. Voila ce qui vous pose un probleme de
positionnement. On est une equipe de chercheurs qui est donc dans la
realisation. On a 400 demandes par semaine. On diffuse notre revue
gratuitement, 1400 personnes la lisent, et ces personnes... A vous laisser
pantois. On a 204 nouvelles demandes chaque semaine. Les Americains savent
que la France est un vecteur d'originalite, de liberte. C'est a nous de
l'imposer. Nous sommes repartis partout dans le monde. Les membres ne se
reunissent jamais, sauf electroniquement. Donc, il n'y a pas de liste
d'adresses des membres. Je connais globalement certains noms ou pseudos,
mais je ne les ai jamais rencontres.
RM: Ne pas connaitre physiquement les gens, cela peut avoir quelques
inconvenients. Le technicien de France Telecom accuse d'avoir casse des
codes... Si vous ne les connaissez pas, vous ne pouvez pas savoir qui ils
sont et de quoi ils sont capables. S'ils sont la pour vous aider, ou pour
obtenir des infos qui leur permettent de casser...
JBC: Une depeche est sortie, c'est vrai: un technicien de France Telecom,
grace au Chaos... Mais, ne pas connaitre... On connait toutes les activites
d'un membre, jusqu'a savoir les operations qu'il a effectuees sur son CCP
depuis dix ans. On connait la personne et chaque mouvement de son petit
doigt. Mais on n'est pas force de l'avoir rencontree.
RM: Oui, mais s'il craque a un moment et qu'il fait quelque chose qu'il n'a
jamais fait, vous ne pouvez pas le savoir.
JBC: Non... On a des grilles d'evaluation. Tenez, le FBI est tres tres
soigneux la-dessus. On est co-editeur de FBI Presents, la grande revue
electronique du FBI. Vous savez, les E-journals font partie d'un groupe,
et sont publies dans un repertoire dit des 384. Ils ont des grilles
d'evaluation de la degenerescence et des besoins des informaticiens. Dans
le panel francais, il y a plusieurs organismes: le Clusif (Club de la
securite informatique francaise) qui regroupe l'ensemble des societes;
le Cigref qui s'occupe, entre autres, de securite informatique; il y a le
CCCF, l'APP. Tous ne s'occupent pas que de securite: l'APP s'occupe de
swapping. Ce n'est pas notre role. Le Clusif s'occupe... On ne sait pas
de quoi. Quand je lis leurs textes, parfois, ca me fait rire. Manque de
competences. Il n'existe pas un seul membre du Clusif qui soit susceptible
d'etre membre du CCCF. L'interet du Clusif est de se developper et d'avoir
des membres qui payent. Chez nous, les membres ne payent pas: on est la
pour creer une dynamique. On m'a demande une fois si ce n'etait pas une
confrerie. Je dirai carrement que c'est une loge.
RM: Ca y ressemble. C'est un critere comme un autre, mais quel rapport entre
un bon informaticien et un membre de la Mensa?
JBC: Aucun.
RM: Sauf peut-etre l'idee qu'on se fait d'un groupe elitiste, mais d'un
elitisme de la competence.
JBC: La competence est indispensable. Le media electronique est excessivement
difficile a dompter. Il existe de grandes banques de donnees, des Host, qui
possedent des fichiers qui repertorient l'ensemble des fichiers cruciaux,
comme l'INPI (Institut national de la propriete industrielle), ou Francis,
l'immense base de donnees du CNRS. Les Host ont des mode d'interrogation
a chaque fois differents. En France, vous avez Questel, aux USA Dialog,
il y en a des milliers, interrogeables en divers langages qu'il faut
systematiquement etudier, et sous lesquels les ordinateurs travaillent.
Il n'y a pas de langage unifie. On forme a ces langages. Pour les
interroger, on fait le 3621, en 80 colonnes, on appelle le PAD, et on
demande l'aiguillage vers n'importe quelle adresse informatique, les NUA
(Network User Address). Cela necessite une autorisation, un NUI (Network
User Identifier). Et France Telecom me reproche d'avoir utilise pendant
une periode qui, si on divise la somme qu'on me reclame par le cout des
communications, correspond a 15,8 annees d'interrogations non-stop! Donc
on m'inculpe pour avoir utilise un NUI pendant 15,8 annees. Seul probleme,
ils n'ont pas de preuve, et pour cause: je ne l'ai pas utilise! En fait
c'est un immense guet-apens, surement tendu pour me faire taire. Ils y
sont arrives. Le probleme, c'est que cela s'appelle perdre la confiance
que vous aviez.
RM: Pourquoi vouloir vous faire taire? Vous m'avez dit tout a l'heure que
vous travailliez avec le FBI. Est-ce que cela ne ferait pas de l'ombre
aux services secrets francais? Ils ont du essayer de vous approcher...
JBC: Tous les services du monde ont essaye de nous approcher, sauf les
services francais. Ils ne vous approchent pas. Ils vous pietinent, et
apres ils vous demandent l'autorisation.
RM: Cela parait absurde.
JBC: Peut-etre. Mais peut-etre n'ont-ils pas les moyens. Les autres nous
ont approches, qui venaient parfois de pays que je ne connaissais meme pas!
La reponse a toujours ete non. Nous sommes la pour garantir l'integrite
de l'information francaise. De toute facon, nous ne travaillons pas dans
le "renseignement", qui est une information deformee, mal digeree. Nous,
nous faisons de l'information.
RM: Je ne pensais pas a cela. Par exemple, le CCC de Hambourg est rentre
dans les ordinateurs de la Nasa. Il n'est pas interdit de penser que, par
exemple l'Agence Spatiale Europeenne pourrait, malgre son savoir-faire,
etre interessee par certaines informations...
JBC: La procedure francaise ne le peut pas, dans le cas ou vous l'appliquez.
Premierement, elle ne pourra jamais mettre en relation le pirate et
l'officier de securite de l'organisme que vous avez cite, parce que l'on
ne doit pas connaitre l'autre. "Ne doit pas" et non "ne peut pas": c'est
un choix fait en France.
RM: J'en reviens toujours a cette idee: pourquoi vouloir vous faire taire?
JBC: Peut-etre aussi parce qu'on travaille benevolement, sans notion d'argent.
Prenons le cas des virus. Je dis que la securite n'existe que si
l'insecurite est creee. Si vous vous amusez a ne mettre dans l'ordinateur
que des lettres tapees par une secretaire, pourquoi iriez-vous acheter un
antivirus a 1600 ou 1700 francs? Ca ne sert purement a rien.
RM: Oui, mais s'il y a toute la comptabilite de l'entreprise dedans, sans
sauvegarde?
JBC: Oui. Mais vous avez dit: sans sauvegarde. Ce qui vous aurait coute deux
ou trois disquettes. Est-ce que vous comparez deux ou trois disquettes, ou
une bonne information, au prix d'un logiciel antivirus, que deja vous
n'arriverez pas a mettre en place? Et que dire des logiciels qui bloquent
l'acces au micro... C'est tellement chiant que parfois on nous appelle pour
nous dire: "J'ai bloque mon micro, j'y ai des tas de donnees hypersensibles,
je ne peux pas rentrer dedans." Est-ce que c'est ca, cette notion de
securite? Elle est mal placee. J'ai ecrit un livre qui va sortir et qui
s'appelle "C'est decide, j'ecris un virus". Il devait sortir en septembre
1992 mais, apres maints rebondissements cocasses, il sort en septembre 1993.
Si l'editeur ne trouve pas encore un pretexte pour ne pas le sortir.
RM: C'est un sujet qui suscite des resistances. Quand on veut questionner un
grand fabricant, un editeur ou un distributeur de logiciels, ils vous
jettent.
JBC: C'est normal. Mais on a tout de meme publie une bonne centaine de codes
source dans Chaos Digest, qui permettent aux chercheurs de les connaitre,
de les etudier. Et surtout les derniers sortis. On publie celui qui est
sorti il y a deux jours, et l'article est generalement signe de l'auteur
lui-meme, ou d'un grand specialiste de l'Eicar ou de l'EFF. Mais plutot que
de s'occuper des virus, qui est un petit probleme, on prefere tres
clairement denoncer beaucoup d'abus realises par des pseudo-professionnels.
Mais de GROS abus. Je vous ai explique celui du marquage. Je pourrais meme
vous donner des dizaines de noms de societes qui font des "autocollants
antivol". Soi-disant, ils repercutent le numero des machines volees aux
constructeurs. J'ai interroge les dix premiers constructeurs de Paris:
personne n'a eu vent des repercussions de materiel vole. Il faudrait un
marquage pour l'ecran, pour le clavier, pour l'unite centrale, de plus le
materiel passe par des intermediaires, grossistes, revendeurs, il est
revendu... Les constructeurs ne pourraient pas suivre l'ensemble de leurs
materiels a la trace. Soyons realistes.
RM: Je reviens aux virus. Si j'ai bien compris ce que vous dites, le marche
des antivirus prospere en fait sur un probleme tout petit.
JBC: Tellement petit qu'il n'y a rien du tout. Dans le livre, il y a ce qu'
est reellement qu'un virus, comment c'est construit, qu'est-ce qu'il y a
a l'interieur, comment ca attaque... Et les limites du fantasme! Le vrai
nom du virus informatique est CPA, code parasite autopropageable.
RM: Que le virus soit une tempete dans un verre d'eau, ce n'est pas une idee
vraiment habituelle...
JBC: Le bouquin vous montrera, apres que vous ayez analyse quinze virus et
que vous en ayez ecrit vous-meme, que ce sera toujours limite. D'abord par
le temps, ensuite par le fait que vous ne pourrez jamais avoir d'idees
suffisamment originales pour biaiser les systemes de controle, de
l'antivirus de Dos 6 par exemple. J'ai meme ecrit dans la preface du
bouquin qui va sortir, qu'a la limite, deux machines PC sur mille sont
contaminables, en potentiel.
RM: Contaminables?
JBC: C'est-a-dire susceptibles de recevoir l'intrusion d'un virus, en
globalite en France. Deux pour mille! Est-ce qu'un probleme de deux pour
mille est a considerer avec autant de force que des problemes plus precis,
comme l'integration du telex dans le Numeris, l'accession de telles
ressources, etc. Par exemple, le nouveau systeme de gestion des billets de
la SNCF, qui me semble plus terrorisant quand on y penseI Avant, je faisais
l'aller-retour tous les jours de Paris a Lyon. Et ils ont mis en place
Dagobert, les bornes. La SNCF a mis deux enarques pour y reflechir de
nouveau. Notre abonnement a l'annee passait avec une formule tellement
compliquee qu'il etait impossible de monter dans un TGV. Il m'arrivait de
payer jusqu'a 100 a 120 francs de taxes, surtaxes, amendes, etc. En un
mois, je me suis retrouve avec mon abonnement (3200 francs) qui couvrait
globalement une location a Paris, plus les amendes, environ 2000 francs!
RM: C'est une absurdite totale.
JBC: Oui. Alors, je suis alle voir la direction commerciale de la SNCF, ou
j'ai recu un tres mauvais accueil... J'ai stoppe mon abonnement. Du jour au
lendemain, ils m'ont perdu, alors que j'etais TGVE, grand voyageur. Et je
n'ai plus du tout envie. Pourquoi? Parce que ce service est totalement mal
fait, mal reflechi. Ca me semble donc plus important d'etudier le nouveau
systeme de reservation SNCF, qui interesse 998 personnes sur mille, que de
se casser la tete sur un probleme de deux pour mille, celui des virus. On
s'interesse aux troubles dus aux dysfonctionnements des automates. Et Dieu
sait s'il y en a! On ne les etudie pas pour embeter les fabricants, mais
pour montrer que nous aussi on a un processus de reflexion a ce niveau-la.
RM: Vous travaillez avec beaucoup d'entreprises?
JBC: Avec des entreprises, des donneurs d'ordres, des chercheurs. Avec tous
ceux qui peuvent ameliorer le schmilblic.
RM: Donc, vous avez une certaine credibilite aupres des entreprises. Comment
expliquer vos problemes avec l'administration?
JBC: Moi, personnellement, je n'ai aucun probleme. Je n'en veux a personne.
C'est l'administration qui a des problemes avec moi.
RM: On comprend mal pourquoi ils vous en veulent.
JBC: Il faut le leur demander. Je vous avoue que moi-meme, je ne suis pas
parvenu a avoir de reponse, ce qui est un peu inquietant.
RM: J'ai vu aussi que France Telecom avait une attitude ambigue envers vous.
Tantot ils vous font des proces, tantot ils vous invitent dans des
colloques...
JBC: C'est vous-meme qui le dites. Il est vrai que plus l'organisme est
grand, plus une partie ignore ce que fait l'autre. C'est "tentaculesque"...
Ca s'appelle la loi de la reticularite. Nous, on essaie de respecter une
autre loi, celle de l'ethique. On essaie de reevaluer, ce qui veut dire
qu'on essaie de trouver, dans le meilleur des cas, la meilleure des
solutions. C'est etre intelligent dans une situation chaotique.
------------------------------
End of Chaos Digest #1.73
************************************
