Chaos Digest Jeudi 5 Aout 1993 Volume 1 : Numero 73 ISSN 1244-4901 Editeur: Jean-Bernard Condat (jbcondat@attmail.com) Archiviste: Yves-Marie Crabbe Co-Redacteurs: Arnaud Bigare, Stephane Briere TABLE DES MATIERES, #1.73 (5 Aout 1993) File 1--"Faut-il crucifier Condat?" par Jack Tajtelbom (sensationnel) Chaos Digest is a weekly electronic journal/newsletter. Subscriptions are available at no cost by sending a message to: linux-activists-request@niksula.hut.fi with a mail header or first line containing the following informations: X-Mn-Admin: join CHAOS_DIGEST The editors may be contacted by voice (+33 1 47874083), fax (+33 1 47877070) or S-mail at: Jean-Bernard Condat, Chaos Computer Club France [CCCF], B.P. 155, 93404 St-Ouen Cedex, France. He is a member of the EICAR and EFF (#1299) groups. Issues of ChaosD can also be found from the ComNet in Luxembourg BBS (+352) 466893. Back issues of ChaosD can be found on the Internet as part of the Computer underground Digest archives. They're accessible using anonymous FTP: * kragar.eff.org [192.88.144.4] in /pub/cud/chaos * uglymouse.css.itd.umich.edu [141.211.182.53] in /pub/CuD/chaos * halcyon.com [192.135.191.2] in /pub/mirror/cud/chaos * ftp.cic.net [192.131.22.2] in /e-serials/alphabetic/c/chaos-digest * cs.ubc.ca [137.82.8.5] in /mirror3/EFF/cud/chaos * nic.funet.fi [128.214.6.100] in /pub/doc/cud/chaos * orchid.csv.warwick.ac.uk [137.205.192.5] in /pub/cud/chaos CHAOS DIGEST is an open forum dedicated to sharing French information among computerists and to the presentation and debate of diverse views. ChaosD material may be reprinted for non-profit as long as the source is cited. Some authors do copyright their material, and they should be contacted for reprint permission. Readers are encouraged to submit reasoned articles in French, English or German languages relating to computer culture and telecommunications. Articles are preferred to short responses. Please avoid quoting previous posts unless absolutely necessary. DISCLAIMER: The views represented herein do not necessarily represent the views of the moderators. Chaos Digest contributors assume all responsibility for ensuring that articles submitted do not violate copyright protections. ---------------------------------------------------------------------- Date: 27 May 93 03:59:59 GMT From: cccf@altern.com (Jean-Bernard Condat ) Subject: File 1--"Faut-il crucifier Condat?" par Jack Tajtelbom (sensationnel) Reprint from: 'Reponse Micro', no. 11, Aout-Sept. 93, pp. 122-26 [Cover Page: La folle histoire du CCCF et de son fondateur] Confessions d'un hacker sous surveillance FAUT-IL CRUCIFIER CONDAT? Interview +----------------------------------------------------------------------------+ | Vingt-sept ans, consultant dans une grande societe de services specialisee | | Jean-Bernard Condat, popularise par de nombreux passages tele, est | | surtout connu comme secretaire general du Chaos Computer Club de | | France; un groupe quasiment occulte, compose de genies informatiques | | capables de percer les meilleurs systemes. Mais dans quel but? Pirater | | ou moraliser? C'est ce que nous avons essaye de savoir. | +----------------------------------------------------------------------------+ En 1991, Jean-Bernard Condat a les honneurs de la grande presse. On l' empeche de faire une demonstration dans l'emission _Mardi Soir_, sur A2, ou il avait promis de penetrer des fichiers bancaires. Deux jours plus tard, dans les locaux de _France Soir_, il rentre dans les systemes informatiques de la CEE et de la NASA. Parallelement, il est accuse par France Telecom d'avoir pirate ses banques de donnees internationales, avec l'aide d'un technicien qui lui aurait fourni les codes. France Telecom lui reclame 250000 francs. Deux ans apres, l'affaire n'est toujours pas jugee. Mais Condat, sous controle judiciaire et sous astreinte financiere, etroitement surveille, et psychologiquement epuise, refuse toujours de se taire. RM: Commencons par votre parcours. Comment etes-vous rentre dans ces reseaux d'information, comment vous etes-vous interesse a l'informatique, et puis a la formation? JBC: J'ai eu mon bac a seize ans et demi. A cette epoque, je ne faisais pas d'informatique. Je suis monte a Lyon pour faire de l'acoustique, avec un seul "c". Mon prof de physique musicale ecrivait "accoustique", avec deux "c"... Cette erreur m'a fait prendre conscience que pour faire de la musicologie - musique-au-logis, comme marechal-des-logis - en fait il suffisait de gratouiller une guitare. Je me suis dit: "Stop, on va etre plus serieux." Et cela m'a amene a faire Math sup et Math spe et a m'interesser Ptout en poursuivant mon doctoratP a quelque chose de plus rigoureux: l'etude des outils permettant de transmettre l'information. A l'IUT de Lyon, j'ai decouvert le Cobol, les machines (Commodore 64), etc J'etais un eleve turbulent, foncierement penible, totalement asocial. A l'epoque, j'avais envie de savoir pourquoi l'outil informatique ne servait a rien. C'est comme un stylo Mont-Blanc, pas fait pour autre chose que de se trouver pose a l'horizontale sur la table. L'outil, il faut savoir s'en servir, l'appliquer a quelque chose. L'informatique doit s'appliquer. Bizarrement, en France, l'informatique ne s'appliquait qu'a la gestion. On passait des BTS d'informatique de gestion. A l'epoque, on n'avait pas de minitel. Et apparaissaient a ce moment des maladies ou des instruments bizarres, comme les lunettes pour informaticiens. Je me suis rendu compte que l'informatique pouvait bouffer les organes. Elle peut vous manger les yeux a force de regarder l'ecran. Je me suis dit: "Pourquoi ne pas etudier tous ces elements-la?" Et alors est arrive un incident que personne pratiquement n'a rapporte: un jour, le fils d'un banquier suisse de Geneve, autiste, me voit passer a la tele... Il trouve ca genial, dit deux ou trois mots devant ses parents. Il avait a peu pres treize ans, et le pere, qui ne l'avait jamais entendu parler, me fait rechercher. Il me retrouve. Depuis ce moment, j'ai vu que les jeux video pouvaient soigner les deficiences parlees ou emotives. J'ai pense: "C'est bizarre, l'informatique peut detruire tes yeux, tout comme les notes de musique (je suis organiste), mais aussi reparer, comme ce gosse." Au bout d'une annee, en jouant avec lui toutes les 2/3 semaines pendant un week-end entier, on etait arrive a lui rendre une dignite, la dignite de la parole. C'est a ce moment, avec quatre copains, en psycho, en psychiatrie - aucun en informatique - que nous avons cree un groupe. On ne trouvait pas de nom. On a reflechi, et on est tombe sur une publication du Chaos Computer Club de Hambourg. Et on a trouve que "CCC France," ca convenait pour reveiller plusieurs notions: attention, l'informatique c'est dangereux; ca peut casser; ca peut reparer... C'est un outil qui peut etre aussi bien tres bon que tres mauvais. Pour creer ce groupe, on a commence a quatre, de la faculte catholique de Lyon. Et on a eu les pires incidents de la planete parce qu'on s'interessait a un milieu frequente par plusieurs types: les gentils et les mechants. Qui sont les gentils? Tous ceux qui traquent les mechants. Et les mechants, ce sont tous ceux qui soi-disant volent, "hackent, swappent, freakent". Le swapping, c'est le piratage des logiciels. Le hacking, c'est s'introduire dans les gros systemes, les banques de donnees. Et le freaking, c'est comment arriver, depuis n'importe quelle cabine telephonique, et sans carte, a telephoner partout dans le monde. Si on etudie cela, ce n'est pas pour faire mieux qu'eux, les recenser, ou apporter aux services secrets de quoi les aider a travailler. Nous, on essaie 1) de former 2) d'informer 3) de prevenir. On le fait en disant aux grands utilisateurs quelles sont les faiblesses de leurs systemes, de leur approche, de leur methodologie, etc. Quand je vois, par exemple, un organisme qui verse de l'argent a des personnes necessiteuses, la Caisse d'Allocations Familiales de Vesoul qui a paye deux fois le RMI a 22000 personnes au mois de mai... Comment imaginer la recuperation du deuxieme versement? RM: Sur les versements ulterieurs... JBC: Sur 22000 personnes necessiteuses! En voyant cela, elles se sont dit: "Merci, Seigneur!" Comment vous allez leur arracher? Il va y avoir des cris et des grincements de dents. Nous, ce qu'on souhaiterait pour eviter ce genre de situation c'est, non pas stopper, on ne peut pas stopper une erreur humaine ou informatique, mais prevenir, porter une reflexion. Autre exemple, les ambulances de Londres. Ils ont change leur systeme a fiches, entierement manuel, par un nouveau, informatise. Seul probleme, cela s'est fait avec tellement de douleur qu'il y a eu quarante-sept morts! 47 personnes qu'on n'a pas pu sauver parce que le systeme etait mal regule par rapport a l'ancienne methode. Nous, nous aimerions trouver ce petit aspect humain, adapte a la France, et securiser les fameux systemes d'informations. Y compris pour l'acces: la CNIL n'est qu'une soupape de securite. Nous aimerions apporter notre opinion. Cela ne peut etre que tres mal vu par tous les facteurs et les elements que constitue la chaine de securisation, en partant du constructeur, l'utilisateur, le pirate, etc., mal vu par beaucoup de monde parce qu'on leur mange des reflexions. On detourne leur flot de profits. Vous imaginez que si on dit: "Aie, votre systeme..." Une centaine de personnes ne travaillent plus pendant trois mois. Donc, on nous reproche de casser du sucre, de brader le marche, de dire ce qu'il ne faut pas dire. Alors, depuis tres peu de temps, on ne dit rien. On est tellement bride qu'on ne dit absolument plus rien. Donc reponse, pas micro, mais reponse mini. RM: Parlez-moi encore de la genese de ce groupe. Il n'est malgre tout pas innocent de s'appeler Chaos Computer Club... JBC: On s'appelle Chaos Computer Club France. RM: Bien sur, mais c'est une subtilite semantique qui ne fait pas oublier que le CCC, c'est aussi Hambourg. JBC: CCC, c'est Hambourg. CCCF, c'est nous. Ca, c'est clair. Ce sont deux structures totalement separees. Mais semantiquement, on a bien recherche a ce que l'une evoque l'autre. RM: Pour proteger les systemes, il faut bien les connaitre. C'est a double tranchant. Il faut pouvoir rentrer dedans - ce qu'on vous a reproche plusieurs fois - et apprendre a les proteger pour que d'autres n'y rentrent plus. JBC: Comment font les constructeurs et les consultants en securite informatique? On ne fait pas autrement qu'eux, mais nous, on n'a pas leurs moyens... on n'intervient pas sur la vie des gens, on n'utilise pas abusivement la liste rouge. On ne pietine pas la vie de certaines personnes privees. On ne les assigne pas dans des histoires foireuses en les inculpant pendant deux ans. Pourquoi, alors, fait-on taire les personnes? RM: Est-ce que, justement, ce n'est pas parce que vous etes independants? Vous ne dependez pas des Telecom. JBC: On est 72, on recoit 1800 lettres par semaine, mais on est independants. Nous ne sommes pas une association mais un groupe de fait. RM: Est-ce que ce n'est pas cela qui les gene? On ne peut pas vous controler. JBC: Pourquoi? Mais le Clusif (Club de la securite informatique francaise) a ete tres longtemps une association de fait. Puis ils se sont mis a faire une association type loi 1901. Mais ils ont vecu, je pense, le meilleur de leur vie en etant un groupe comme nous. Donc, votre argumentation, on peut l'appliquer aussi au Clusif, le plus grand club. RM: Qui en faisait partie? JBC: Les responsables de la securite de toutes les plus grandes entreprises francaises, celles qui ont du fric et qui payent. RM: Donc des gens... JBC: Au-dessous de tout soupcon! Nous, on est aux ordres de notre conscience: ne pas casser, ne generer que du bien. C'est notre but. On n'est pas la pour embeter quiconque. Ils ne l'ont pas compris. On est la pour faire avancer le schmilblic, diffuser une information que personne n'arrive a obtenir. On fait connaitre des produits de securite francais, des services... Par exemple, on dit que le marquage des ordinateurs est inutile. Certaines societes s'amusent a marquer, avec une plaquette "anti-arrachable", les ordinateurs. Mais si je marque un parc de cent micros, cela va me couter une fortune. Si un voleur me prend ma machine, qu'est-ce que vous voulez qu'il en fasse de ce marquage? Il le vole avec. Donc, je dis clairement que le marquage des moyens informatiques ne sert a rien. Nous denoncons cet abus total. A une certaine epoque, pour utiliser les cartes Pastel, il fallait dicter le numero de la carte, qui correspondait au numero de telephone, et le code secret, suivi du numero du correspondant. Vous imaginez bien qu'il y a eu des milliers de petits freakers qui s'amusaient, dans le hall des grands hotels du monde entier, a ecouter: "Bonjour, c'est une communication par carte Pastel internationale, voici mon numero, mon code secret, le numero que je veux appeler..." Imaginez-vous qu'en six minutes de demonstration, avec une grande chaine de tele (FR3), j'en ai recolte six ou sept, dans le hall de l'hotel Hilton a Paris. En ne faisant rien. C'est ce qu'on veut prevenir. Une chose tres amusante, par exemple: dans le Numeris, le telex n'est pas integre. Autre exemple: il existe des Actel, agences France Telecom, dans lesquelles les mots de passe des serveurs de demonstration se trouvent graves sur les minitels qui servent aux demonstrations. Transpac offre un service, Atlas 400, non connectable a Internet. Donc, les 4739 users d'Atlas 400 sont des grands comptes qui s'echangent entre eux a grands frais des messages, on se demande pourquoi... Si ce n'est pour remplir les caisses de Transpac, mais certes pas dans un but d'efficacite. En plus, les enveloppes electroniques d'Atlas sont tres mal faites, du moins tellement complexes qu'on s'amuse... Et la convivialite du service est a se tordre de rire. Exemple, pour lire les messages, c'est pas Read, ou R, ou Envoi; c'est LIRMES. Comment vider sa Boite aux lettres? C'est pas Delete all, ou "supprime les tous"; c'est VIDBAL... C'est clair... Et comment se deconnecter du serveur? Par une coupure a chaud! Clac! Parce que la commande Quit, ou End, n'existe pas. C'est pas serieux. Heureusement, les petits serveurs comme Altern en 3616, ou Email en 3617 remedient avec beaucoup d'elegance a cette lacune. Et quand on demande a Transpac pourquoi Atlas 400 n'est pas accessible, ils repondent que c'est parce qu'ils ne savent pas refacturer le service a leurs utilisateurs. Au CCCF nous ne sommes que 72, on ne peut pas etre plus dans notre groupe... On les prend a la sortie de Polytechnique, generalement ils sont membres de la Mensa, sains de corps et d'esprit, ayant de quoi vivre largement au-dessus de leurs moyens, et moi je suis la carotte. Moi, je suis secretaire general, je suis la pour parler et emettre, mais je suis le plus con de tous. En informatique, je ne sais rien. Je ne suis pas la cheville ouvriere, mais la reine (ou le roi) visible de l'essaim. RM: Cet aspect mediatique, deja, c'est une garantie... JBC: Vous avez compris la finalite. Quand on a annonce, une fois, qu'un virus nomme Daniela, avec un petit moteur d'inference, une base de donnees, une base de connaissances, allait sortir, Remi Bellon, de l'AFP, a fait une depeche de 350 mots pour l'expliquer. Ca a tellement tripatouille les gens que le virus, on ne l'a jamais vu, sauf dans les archives des "virusologues". RM: Le virus n'existait pas? JBC: Si. Mais on est arrive a trouver la parade qui bloquait son vecteur de propagation. Et on n'a pu le faire que grace a cette depeche, qui a genere une centaine d'articles. Alors, quand on m'interdit de me presenter sur les lieux des JO d'Albertville, parce que je risque de troubler la securite de ce site a ce moment-la, cela fait sourire. Parce que je ne vois pas en quoi ma petite personne aurait pu troubler l'immense realisation des JO. Qu'aurais-je pu faire, alors que je ne suis qu'un pauvre petit degenere qui ne fait qu'appater le petit hacker, le Rambo du minitel, alors que moi je ne programme pas, je ne fais pratiquement rien. C'est pas moi qui me coltine chaque jour la redaction d'un bulletin de 51000 octets, qui est diffuse a 1400 responsables de la securite informatique, parmi lesquels la NASA, Interpol, tout le monde. Alors, soyons raisonnable... RM: Est-ce que le systeme est raisonnable? JBC: Le systeme doit, de temps en temps, ne pas etre raisonnable. Et sans ecraser des libertes, soit individuelles, soit collectives. Notre but, c'est aussi de montrer que la France sait se realiser dans ces points-la. Et nous devons aussi avoir un phare, qui s'appelle le CCCF, ou autre, qui doit etre, pour la Communaute internationale, la reference du piratage en France. Pourquoi? Il y en a dans tous les pays, mais il n'y en avait pas en France. Nous l'avons cree pour focaliser l'attention. Nous n'avons pas de CERT (Computer Emergency Recognizement Team - Centre de signalisation des evenements informatiques) pour signaler les ambulances de Londres ou la CAF de Vesoul, non cites dans la presse, si ce n'est dans Chaos Digest, mais nous voulons que les specialistes puissent etudier et avoir plus de billes pour repondre aux questions qui se presentent a eux. Nous ne sommes ni un organisme de piratage, ni d'anti-piratage. On etudie sur le plan sociologique, psychologique. Voila ce qui vous pose un probleme de positionnement. On est une equipe de chercheurs qui est donc dans la realisation. On a 400 demandes par semaine. On diffuse notre revue gratuitement, 1400 personnes la lisent, et ces personnes... A vous laisser pantois. On a 204 nouvelles demandes chaque semaine. Les Americains savent que la France est un vecteur d'originalite, de liberte. C'est a nous de l'imposer. Nous sommes repartis partout dans le monde. Les membres ne se reunissent jamais, sauf electroniquement. Donc, il n'y a pas de liste d'adresses des membres. Je connais globalement certains noms ou pseudos, mais je ne les ai jamais rencontres. RM: Ne pas connaitre physiquement les gens, cela peut avoir quelques inconvenients. Le technicien de France Telecom accuse d'avoir casse des codes... Si vous ne les connaissez pas, vous ne pouvez pas savoir qui ils sont et de quoi ils sont capables. S'ils sont la pour vous aider, ou pour obtenir des infos qui leur permettent de casser... JBC: Une depeche est sortie, c'est vrai: un technicien de France Telecom, grace au Chaos... Mais, ne pas connaitre... On connait toutes les activites d'un membre, jusqu'a savoir les operations qu'il a effectuees sur son CCP depuis dix ans. On connait la personne et chaque mouvement de son petit doigt. Mais on n'est pas force de l'avoir rencontree. RM: Oui, mais s'il craque a un moment et qu'il fait quelque chose qu'il n'a jamais fait, vous ne pouvez pas le savoir. JBC: Non... On a des grilles d'evaluation. Tenez, le FBI est tres tres soigneux la-dessus. On est co-editeur de FBI Presents, la grande revue electronique du FBI. Vous savez, les E-journals font partie d'un groupe, et sont publies dans un repertoire dit des 384. Ils ont des grilles d'evaluation de la degenerescence et des besoins des informaticiens. Dans le panel francais, il y a plusieurs organismes: le Clusif (Club de la securite informatique francaise) qui regroupe l'ensemble des societes; le Cigref qui s'occupe, entre autres, de securite informatique; il y a le CCCF, l'APP. Tous ne s'occupent pas que de securite: l'APP s'occupe de swapping. Ce n'est pas notre role. Le Clusif s'occupe... On ne sait pas de quoi. Quand je lis leurs textes, parfois, ca me fait rire. Manque de competences. Il n'existe pas un seul membre du Clusif qui soit susceptible d'etre membre du CCCF. L'interet du Clusif est de se developper et d'avoir des membres qui payent. Chez nous, les membres ne payent pas: on est la pour creer une dynamique. On m'a demande une fois si ce n'etait pas une confrerie. Je dirai carrement que c'est une loge. RM: Ca y ressemble. C'est un critere comme un autre, mais quel rapport entre un bon informaticien et un membre de la Mensa? JBC: Aucun. RM: Sauf peut-etre l'idee qu'on se fait d'un groupe elitiste, mais d'un elitisme de la competence. JBC: La competence est indispensable. Le media electronique est excessivement difficile a dompter. Il existe de grandes banques de donnees, des Host, qui possedent des fichiers qui repertorient l'ensemble des fichiers cruciaux, comme l'INPI (Institut national de la propriete industrielle), ou Francis, l'immense base de donnees du CNRS. Les Host ont des mode d'interrogation a chaque fois differents. En France, vous avez Questel, aux USA Dialog, il y en a des milliers, interrogeables en divers langages qu'il faut systematiquement etudier, et sous lesquels les ordinateurs travaillent. Il n'y a pas de langage unifie. On forme a ces langages. Pour les interroger, on fait le 3621, en 80 colonnes, on appelle le PAD, et on demande l'aiguillage vers n'importe quelle adresse informatique, les NUA (Network User Address). Cela necessite une autorisation, un NUI (Network User Identifier). Et France Telecom me reproche d'avoir utilise pendant une periode qui, si on divise la somme qu'on me reclame par le cout des communications, correspond a 15,8 annees d'interrogations non-stop! Donc on m'inculpe pour avoir utilise un NUI pendant 15,8 annees. Seul probleme, ils n'ont pas de preuve, et pour cause: je ne l'ai pas utilise! En fait c'est un immense guet-apens, surement tendu pour me faire taire. Ils y sont arrives. Le probleme, c'est que cela s'appelle perdre la confiance que vous aviez. RM: Pourquoi vouloir vous faire taire? Vous m'avez dit tout a l'heure que vous travailliez avec le FBI. Est-ce que cela ne ferait pas de l'ombre aux services secrets francais? Ils ont du essayer de vous approcher... JBC: Tous les services du monde ont essaye de nous approcher, sauf les services francais. Ils ne vous approchent pas. Ils vous pietinent, et apres ils vous demandent l'autorisation. RM: Cela parait absurde. JBC: Peut-etre. Mais peut-etre n'ont-ils pas les moyens. Les autres nous ont approches, qui venaient parfois de pays que je ne connaissais meme pas! La reponse a toujours ete non. Nous sommes la pour garantir l'integrite de l'information francaise. De toute facon, nous ne travaillons pas dans le "renseignement", qui est une information deformee, mal digeree. Nous, nous faisons de l'information. RM: Je ne pensais pas a cela. Par exemple, le CCC de Hambourg est rentre dans les ordinateurs de la Nasa. Il n'est pas interdit de penser que, par exemple l'Agence Spatiale Europeenne pourrait, malgre son savoir-faire, etre interessee par certaines informations... JBC: La procedure francaise ne le peut pas, dans le cas ou vous l'appliquez. Premierement, elle ne pourra jamais mettre en relation le pirate et l'officier de securite de l'organisme que vous avez cite, parce que l'on ne doit pas connaitre l'autre. "Ne doit pas" et non "ne peut pas": c'est un choix fait en France. RM: J'en reviens toujours a cette idee: pourquoi vouloir vous faire taire? JBC: Peut-etre aussi parce qu'on travaille benevolement, sans notion d'argent. Prenons le cas des virus. Je dis que la securite n'existe que si l'insecurite est creee. Si vous vous amusez a ne mettre dans l'ordinateur que des lettres tapees par une secretaire, pourquoi iriez-vous acheter un antivirus a 1600 ou 1700 francs? Ca ne sert purement a rien. RM: Oui, mais s'il y a toute la comptabilite de l'entreprise dedans, sans sauvegarde? JBC: Oui. Mais vous avez dit: sans sauvegarde. Ce qui vous aurait coute deux ou trois disquettes. Est-ce que vous comparez deux ou trois disquettes, ou une bonne information, au prix d'un logiciel antivirus, que deja vous n'arriverez pas a mettre en place? Et que dire des logiciels qui bloquent l'acces au micro... C'est tellement chiant que parfois on nous appelle pour nous dire: "J'ai bloque mon micro, j'y ai des tas de donnees hypersensibles, je ne peux pas rentrer dedans." Est-ce que c'est ca, cette notion de securite? Elle est mal placee. J'ai ecrit un livre qui va sortir et qui s'appelle "C'est decide, j'ecris un virus". Il devait sortir en septembre 1992 mais, apres maints rebondissements cocasses, il sort en septembre 1993. Si l'editeur ne trouve pas encore un pretexte pour ne pas le sortir. RM: C'est un sujet qui suscite des resistances. Quand on veut questionner un grand fabricant, un editeur ou un distributeur de logiciels, ils vous jettent. JBC: C'est normal. Mais on a tout de meme publie une bonne centaine de codes source dans Chaos Digest, qui permettent aux chercheurs de les connaitre, de les etudier. Et surtout les derniers sortis. On publie celui qui est sorti il y a deux jours, et l'article est generalement signe de l'auteur lui-meme, ou d'un grand specialiste de l'Eicar ou de l'EFF. Mais plutot que de s'occuper des virus, qui est un petit probleme, on prefere tres clairement denoncer beaucoup d'abus realises par des pseudo-professionnels. Mais de GROS abus. Je vous ai explique celui du marquage. Je pourrais meme vous donner des dizaines de noms de societes qui font des "autocollants antivol". Soi-disant, ils repercutent le numero des machines volees aux constructeurs. J'ai interroge les dix premiers constructeurs de Paris: personne n'a eu vent des repercussions de materiel vole. Il faudrait un marquage pour l'ecran, pour le clavier, pour l'unite centrale, de plus le materiel passe par des intermediaires, grossistes, revendeurs, il est revendu... Les constructeurs ne pourraient pas suivre l'ensemble de leurs materiels a la trace. Soyons realistes. RM: Je reviens aux virus. Si j'ai bien compris ce que vous dites, le marche des antivirus prospere en fait sur un probleme tout petit. JBC: Tellement petit qu'il n'y a rien du tout. Dans le livre, il y a ce qu' est reellement qu'un virus, comment c'est construit, qu'est-ce qu'il y a a l'interieur, comment ca attaque... Et les limites du fantasme! Le vrai nom du virus informatique est CPA, code parasite autopropageable. RM: Que le virus soit une tempete dans un verre d'eau, ce n'est pas une idee vraiment habituelle... JBC: Le bouquin vous montrera, apres que vous ayez analyse quinze virus et que vous en ayez ecrit vous-meme, que ce sera toujours limite. D'abord par le temps, ensuite par le fait que vous ne pourrez jamais avoir d'idees suffisamment originales pour biaiser les systemes de controle, de l'antivirus de Dos 6 par exemple. J'ai meme ecrit dans la preface du bouquin qui va sortir, qu'a la limite, deux machines PC sur mille sont contaminables, en potentiel. RM: Contaminables? JBC: C'est-a-dire susceptibles de recevoir l'intrusion d'un virus, en globalite en France. Deux pour mille! Est-ce qu'un probleme de deux pour mille est a considerer avec autant de force que des problemes plus precis, comme l'integration du telex dans le Numeris, l'accession de telles ressources, etc. Par exemple, le nouveau systeme de gestion des billets de la SNCF, qui me semble plus terrorisant quand on y penseI Avant, je faisais l'aller-retour tous les jours de Paris a Lyon. Et ils ont mis en place Dagobert, les bornes. La SNCF a mis deux enarques pour y reflechir de nouveau. Notre abonnement a l'annee passait avec une formule tellement compliquee qu'il etait impossible de monter dans un TGV. Il m'arrivait de payer jusqu'a 100 a 120 francs de taxes, surtaxes, amendes, etc. En un mois, je me suis retrouve avec mon abonnement (3200 francs) qui couvrait globalement une location a Paris, plus les amendes, environ 2000 francs! RM: C'est une absurdite totale. JBC: Oui. Alors, je suis alle voir la direction commerciale de la SNCF, ou j'ai recu un tres mauvais accueil... J'ai stoppe mon abonnement. Du jour au lendemain, ils m'ont perdu, alors que j'etais TGVE, grand voyageur. Et je n'ai plus du tout envie. Pourquoi? Parce que ce service est totalement mal fait, mal reflechi. Ca me semble donc plus important d'etudier le nouveau systeme de reservation SNCF, qui interesse 998 personnes sur mille, que de se casser la tete sur un probleme de deux pour mille, celui des virus. On s'interesse aux troubles dus aux dysfonctionnements des automates. Et Dieu sait s'il y en a! On ne les etudie pas pour embeter les fabricants, mais pour montrer que nous aussi on a un processus de reflexion a ce niveau-la. RM: Vous travaillez avec beaucoup d'entreprises? JBC: Avec des entreprises, des donneurs d'ordres, des chercheurs. Avec tous ceux qui peuvent ameliorer le schmilblic. RM: Donc, vous avez une certaine credibilite aupres des entreprises. Comment expliquer vos problemes avec l'administration? JBC: Moi, personnellement, je n'ai aucun probleme. Je n'en veux a personne. C'est l'administration qui a des problemes avec moi. RM: On comprend mal pourquoi ils vous en veulent. JBC: Il faut le leur demander. Je vous avoue que moi-meme, je ne suis pas parvenu a avoir de reponse, ce qui est un peu inquietant. RM: J'ai vu aussi que France Telecom avait une attitude ambigue envers vous. Tantot ils vous font des proces, tantot ils vous invitent dans des colloques... JBC: C'est vous-meme qui le dites. Il est vrai que plus l'organisme est grand, plus une partie ignore ce que fait l'autre. C'est "tentaculesque"... Ca s'appelle la loi de la reticularite. Nous, on essaie de respecter une autre loi, celle de l'ethique. On essaie de reevaluer, ce qui veut dire qu'on essaie de trouver, dans le meilleur des cas, la meilleure des solutions. C'est etre intelligent dans une situation chaotique. ------------------------------ End of Chaos Digest #1.73 ************************************