Chaos Digest               Jeudi 5 Aout 1993        Volume 1 : Numero 73
                           ISSN  1244-4901

      Editeur: Jean-Bernard Condat ([email protected])
      Archiviste: Yves-Marie Crabbe
      Co-Redacteurs: Arnaud Bigare, Stephane Briere

TABLE DES MATIERES, #1.73 (5 Aout 1993)
File 1--"Faut-il crucifier Condat?" par Jack Tajtelbom (sensationnel)

Chaos Digest is a weekly electronic journal/newsletter. Subscriptions are
available at no cost by sending a message to:
               [email protected]
with a mail header or first line containing the following informations:
                   X-Mn-Admin: join CHAOS_DIGEST

The editors may be contacted by voice (+33 1 47874083), fax (+33 1 47877070)
or S-mail at: Jean-Bernard Condat, Chaos Computer Club France [CCCF], B.P.
155, 93404 St-Ouen Cedex, France.  He is a member of the EICAR and EFF (#1299)
groups.

Issues of ChaosD can also be found from the ComNet in Luxembourg BBS (+352)
466893.  Back issues of ChaosD can be found on the Internet as part of the
Computer underground Digest archives. They're accessible using anonymous FTP:

       * kragar.eff.org [192.88.144.4] in /pub/cud/chaos
       * uglymouse.css.itd.umich.edu [141.211.182.53] in /pub/CuD/chaos
       * halcyon.com [192.135.191.2] in /pub/mirror/cud/chaos
       * ftp.cic.net [192.131.22.2] in /e-serials/alphabetic/c/chaos-digest
       * cs.ubc.ca [137.82.8.5] in /mirror3/EFF/cud/chaos
       * nic.funet.fi [128.214.6.100] in /pub/doc/cud/chaos
       * orchid.csv.warwick.ac.uk [137.205.192.5] in /pub/cud/chaos

CHAOS DIGEST is an open forum dedicated to sharing French information among
computerists and to the presentation and debate of diverse views. ChaosD
material may be reprinted for non-profit as long as the source is cited.
Some authors do copyright their material, and they should be contacted for
reprint permission.  Readers are encouraged to submit reasoned articles in
French, English or German languages relating to computer culture and
telecommunications.  Articles are preferred to short responses.  Please
avoid quoting previous posts unless absolutely necessary.

DISCLAIMER: The views represented herein do not necessarily represent
           the views of the moderators. Chaos Digest contributors
           assume all responsibility for ensuring that articles
           submitted do not violate copyright protections.

----------------------------------------------------------------------

Date: 27 May 93 03:59:59 GMT
From: [email protected] (Jean-Bernard Condat )
Subject: File 1--"Faut-il crucifier Condat?" par Jack Tajtelbom (sensationnel)
Reprint from: 'Reponse Micro', no. 11, Aout-Sept. 93, pp. 122-26

  [Cover Page: <picture> La folle histoire du CCCF et de son fondateur]

              Confessions d'un hacker sous surveillance

                      FAUT-IL CRUCIFIER CONDAT?
                              Interview

+----------------------------------------------------------------------------+
| Vingt-sept ans, consultant dans une grande societe de services specialisee |
| Jean-Bernard Condat, popularise par de nombreux passages tele, est         |
| surtout connu comme secretaire general du Chaos Computer Club de           |
| France; un groupe quasiment occulte, compose de genies informatiques       |
| capables de percer les meilleurs systemes.  Mais dans quel but?  Pirater   |
| ou moraliser?  C'est ce que nous avons essaye de savoir.                   |
+----------------------------------------------------------------------------+

 En 1991, Jean-Bernard Condat a les honneurs de la grande presse.  On l'
empeche de faire une demonstration dans l'emission _Mardi Soir_, sur A2, ou
il avait promis de penetrer des fichiers bancaires.  Deux jours plus tard,
dans les locaux de _France Soir_, il rentre dans les systemes informatiques
de la CEE et de la NASA.  Parallelement, il est accuse par France Telecom
d'avoir pirate ses banques de donnees internationales, avec l'aide d'un
technicien qui lui aurait fourni les codes.  France Telecom lui reclame
250000 francs.  Deux ans apres, l'affaire n'est toujours pas jugee.  Mais
Condat, sous controle judiciaire et sous astreinte financiere, etroitement
surveille, et psychologiquement epuise, refuse toujours de se taire.

RM: Commencons par votre parcours.  Comment etes-vous rentre dans ces reseaux
 d'information, comment vous etes-vous interesse a l'informatique, et puis
 a la formation?

JBC: J'ai eu mon bac a seize ans et demi. A cette epoque, je ne faisais pas
 d'informatique. Je suis monte a Lyon pour faire de l'acoustique, avec un
 seul "c". Mon prof de physique musicale ecrivait "accoustique", avec deux
 "c"... Cette erreur m'a fait prendre conscience que pour faire de la
 musicologie - musique-au-logis, comme marechal-des-logis - en fait il
 suffisait de gratouiller une guitare. Je me suis dit: "Stop, on va etre
 plus serieux." Et cela m'a amene a faire Math sup et Math spe et a
 m'interesser Ptout en poursuivant mon doctoratP a quelque chose de plus
 rigoureux: l'etude des outils permettant de transmettre l'information.
 A l'IUT de Lyon, j'ai decouvert le Cobol, les machines (Commodore 64), etc
 J'etais un eleve turbulent, foncierement penible, totalement asocial. A
 l'epoque, j'avais envie de savoir pourquoi l'outil informatique ne servait
 a rien. C'est comme un stylo Mont-Blanc, pas fait pour autre chose que de
 se trouver pose a l'horizontale sur la table. L'outil, il faut savoir s'en
 servir, l'appliquer a quelque chose. L'informatique doit s'appliquer.
 Bizarrement, en France, l'informatique ne s'appliquait qu'a la gestion.
 On passait des BTS d'informatique de gestion. A l'epoque, on n'avait pas
 de minitel. Et apparaissaient a ce moment des maladies ou des instruments
 bizarres, comme les lunettes pour informaticiens. Je me suis rendu compte
 que l'informatique pouvait bouffer les organes. Elle peut vous manger les
 yeux a force de regarder l'ecran. Je me suis dit: "Pourquoi ne pas etudier
 tous ces elements-la?" Et alors est arrive un incident que personne
 pratiquement n'a rapporte: un jour, le fils d'un banquier suisse de Geneve,
 autiste, me voit passer a la tele... Il trouve ca genial, dit deux ou trois
 mots devant ses parents. Il avait a peu pres treize ans, et le pere, qui
 ne l'avait jamais entendu parler, me fait rechercher. Il me retrouve.
 Depuis ce moment, j'ai vu que les jeux video pouvaient soigner les
 deficiences parlees ou emotives. J'ai pense: "C'est bizarre, l'informatique
 peut detruire tes yeux, tout comme les notes de musique (je suis organiste),
 mais aussi reparer, comme ce gosse." Au bout d'une annee, en jouant avec
 lui toutes les 2/3 semaines pendant un week-end entier, on etait arrive
 a lui rendre une dignite, la dignite de la parole. C'est a ce moment, avec
 quatre copains, en psycho, en psychiatrie - aucun en informatique - que
 nous avons cree un groupe. On ne trouvait pas de nom. On a reflechi, et
 on est tombe sur une publication du Chaos Computer Club de Hambourg. Et
 on a trouve que "CCC France," ca convenait pour reveiller plusieurs
 notions: attention, l'informatique c'est dangereux; ca peut casser; ca
 peut reparer... C'est un outil qui peut etre aussi bien tres bon que tres
 mauvais. Pour creer ce groupe, on a commence a quatre, de la faculte
 catholique de Lyon. Et on a eu les pires incidents de la planete parce
 qu'on s'interessait a un milieu frequente par plusieurs types: les gentils
 et les mechants. Qui sont les gentils? Tous ceux qui traquent les mechants.
 Et les mechants, ce sont tous ceux qui soi-disant volent, "hackent,
 swappent, freakent". Le swapping, c'est le piratage des logiciels. Le
 hacking, c'est s'introduire dans les gros systemes, les banques de donnees.
 Et le freaking, c'est comment arriver, depuis n'importe quelle cabine
 telephonique, et sans carte, a telephoner partout dans le monde. Si on
 etudie cela, ce n'est pas pour faire mieux qu'eux, les recenser, ou apporter
 aux services secrets de quoi les aider a travailler. Nous, on essaie 1) de
 former 2) d'informer 3) de prevenir. On le fait en disant aux grands
 utilisateurs quelles sont les faiblesses de leurs systemes, de leur
 approche, de leur methodologie, etc. Quand je vois, par exemple, un
 organisme qui verse de l'argent a des personnes necessiteuses, la Caisse
 d'Allocations Familiales de Vesoul qui a paye deux fois le RMI a 22000
 personnes au mois de mai... Comment imaginer la recuperation du deuxieme
 versement?

RM: Sur les versements ulterieurs...

JBC: Sur 22000 personnes necessiteuses! En voyant cela, elles se sont dit:
 "Merci, Seigneur!" Comment vous allez leur arracher? Il va y avoir des
 cris et des grincements de dents. Nous, ce qu'on souhaiterait pour eviter
 ce genre de situation c'est, non pas stopper, on ne peut pas stopper une
 erreur humaine ou informatique, mais prevenir, porter une reflexion. Autre
 exemple, les ambulances de Londres. Ils ont change leur systeme a fiches,
 entierement manuel, par un nouveau, informatise. Seul probleme, cela s'est
 fait avec tellement de douleur qu'il y a eu quarante-sept morts! 47
 personnes qu'on n'a pas pu sauver parce que le systeme etait mal regule
 par rapport a l'ancienne methode.

 Nous, nous aimerions trouver ce petit aspect humain, adapte a la France, et
 securiser les fameux systemes d'informations. Y compris pour l'acces: la
 CNIL n'est qu'une soupape de securite. Nous aimerions apporter notre
 opinion. Cela ne peut etre que tres mal vu par tous les facteurs et les
 elements que constitue la chaine de securisation, en partant du
 constructeur, l'utilisateur, le pirate, etc., mal vu par beaucoup de monde
 parce qu'on leur mange des reflexions. On detourne leur flot de profits.
 Vous imaginez que si on dit: "Aie, votre systeme..." Une centaine de
 personnes ne travaillent plus pendant trois mois. Donc, on nous reproche
 de casser du sucre, de brader le marche, de dire ce qu'il ne faut pas dire.
 Alors, depuis tres peu de temps, on ne dit rien. On est tellement bride
 qu'on ne dit absolument plus rien. Donc reponse, pas micro, mais reponse
 mini.

RM: Parlez-moi encore de la genese de ce groupe. Il n'est malgre tout pas
 innocent de s'appeler Chaos Computer Club...

JBC: On s'appelle Chaos Computer Club France.

RM: Bien sur, mais c'est une subtilite semantique qui ne fait pas oublier
 que le CCC, c'est aussi Hambourg.

JBC: CCC, c'est Hambourg. CCCF, c'est nous. Ca, c'est clair. Ce sont deux
 structures totalement separees. Mais semantiquement, on a bien recherche
 a ce que l'une evoque l'autre.

RM: Pour proteger les systemes, il faut bien les connaitre. C'est a double
 tranchant. Il faut pouvoir rentrer dedans - ce qu'on vous a reproche
 plusieurs fois - et apprendre a les proteger pour que d'autres n'y rentrent
 plus.

JBC: Comment font les constructeurs et les consultants en securite
 informatique? On ne fait pas autrement qu'eux, mais nous, on n'a pas leurs
 moyens... on n'intervient pas sur la vie des gens, on n'utilise pas
 abusivement la liste rouge. On ne pietine pas la vie de certaines personnes
 privees. On ne les assigne pas dans des histoires foireuses en les
 inculpant pendant deux ans. Pourquoi, alors, fait-on taire les personnes?

RM: Est-ce que, justement, ce n'est pas parce que vous etes independants?
 Vous ne dependez pas des Telecom.

JBC: On est 72, on recoit 1800 lettres par semaine, mais on est independants.
 Nous ne sommes pas une association mais un groupe de fait.

RM: Est-ce que ce n'est pas cela qui les gene? On ne peut pas vous controler.

JBC: Pourquoi? Mais le Clusif (Club de la securite informatique francaise)
 a ete tres longtemps une association de fait. Puis ils se sont mis a faire
 une association type loi 1901. Mais ils ont vecu, je pense, le meilleur de
 leur vie en etant un groupe comme nous. Donc, votre argumentation, on peut
 l'appliquer aussi au Clusif, le plus grand club.

RM: Qui en faisait partie?

JBC: Les responsables de la securite de toutes les plus grandes entreprises
 francaises, celles qui ont du fric et qui payent.

RM: Donc des gens...

JBC: Au-dessous de tout soupcon! Nous, on est aux ordres de notre conscience:
 ne pas casser, ne generer que du bien. C'est notre but. On n'est pas la
 pour embeter quiconque. Ils ne l'ont pas compris. On est la pour faire
 avancer le schmilblic, diffuser une information que personne n'arrive a
 obtenir. On fait connaitre des produits de securite francais, des
 services... Par exemple, on dit que le marquage des ordinateurs est
 inutile. Certaines societes s'amusent a marquer, avec une plaquette
 "anti-arrachable", les ordinateurs. Mais si je marque un parc de cent
 micros, cela va me couter une fortune. Si un voleur me prend ma machine,
 qu'est-ce que vous voulez qu'il en fasse de ce marquage? Il le vole avec.
 Donc, je dis clairement que le marquage des moyens informatiques ne sert
 a rien. Nous denoncons cet abus total. A une certaine epoque, pour utiliser
 les cartes Pastel, il fallait dicter le numero de la carte, qui
 correspondait au numero de telephone, et le code secret, suivi du numero
 du correspondant. Vous imaginez bien qu'il y a eu des milliers de petits
 freakers qui s'amusaient, dans le hall des grands hotels du monde entier,
 a ecouter: "Bonjour, c'est une communication par carte Pastel
 internationale, voici mon numero, mon code secret, le numero que je veux
 appeler..." Imaginez-vous qu'en six minutes de demonstration, avec une
 grande chaine de tele (FR3), j'en ai recolte six ou sept, dans le hall de
 l'hotel Hilton a Paris. En ne faisant rien. C'est ce qu'on veut prevenir.
 Une chose tres amusante, par exemple: dans le Numeris, le telex n'est pas
 integre. Autre exemple: il existe des Actel, agences France Telecom, dans
 lesquelles les mots de passe des serveurs de demonstration se trouvent
 graves sur les minitels qui servent aux demonstrations.  Transpac offre
 un service, Atlas 400, non connectable a Internet. Donc, les 4739 users
 d'Atlas 400 sont des grands comptes qui s'echangent entre eux a grands
 frais des messages, on se demande pourquoi... Si ce n'est pour remplir
 les caisses de Transpac, mais certes pas dans un but d'efficacite. En plus,
 les enveloppes electroniques d'Atlas sont tres mal faites, du moins
 tellement complexes qu'on s'amuse... Et la convivialite du service est a se
 tordre de rire. Exemple, pour lire les messages, c'est pas Read, ou R, ou
 Envoi; c'est LIRMES. Comment vider sa Boite aux lettres? C'est pas Delete
 all, ou "supprime les tous"; c'est VIDBAL... C'est clair... Et comment se
 deconnecter du serveur? Par une coupure a chaud! Clac! Parce que la
 commande Quit, ou End, n'existe pas. C'est pas serieux. Heureusement, les
 petits serveurs comme Altern en 3616, ou Email en 3617 remedient avec
 beaucoup d'elegance a cette lacune. Et quand on demande a Transpac pourquoi
 Atlas 400 n'est pas accessible, ils repondent que c'est parce qu'ils ne
 savent pas refacturer le service a leurs utilisateurs.

 Au CCCF nous ne sommes que 72, on ne peut pas etre plus dans notre groupe...
 On les prend a la sortie de Polytechnique, generalement ils sont membres
 de la Mensa, sains de corps et d'esprit, ayant de quoi vivre largement
 au-dessus de leurs moyens, et moi je suis la carotte. Moi, je suis
 secretaire general, je suis la pour parler et emettre, mais je suis le
 plus con de tous. En informatique, je ne sais rien. Je ne suis pas la
 cheville ouvriere, mais la reine (ou le roi) visible de l'essaim.

RM: Cet aspect mediatique, deja, c'est une garantie...

JBC: Vous avez compris la finalite. Quand on a annonce, une fois, qu'un virus
 nomme Daniela, avec un petit moteur d'inference, une base de donnees, une
 base de connaissances, allait sortir, Remi Bellon, de l'AFP, a fait une
 depeche de 350 mots pour l'expliquer. Ca a tellement tripatouille les gens
 que le virus, on ne l'a jamais vu, sauf dans les archives des
 "virusologues".

RM: Le virus n'existait pas?

JBC: Si. Mais on est arrive a trouver la parade qui bloquait son vecteur de
 propagation. Et on n'a pu le faire que grace a cette depeche, qui a genere
 une centaine d'articles. Alors, quand on m'interdit de me presenter sur
 les lieux des JO d'Albertville, parce que je risque de troubler la securite
 de ce site a ce moment-la, cela fait sourire. Parce que je ne vois pas en
 quoi ma petite personne aurait pu troubler l'immense realisation des JO.
 Qu'aurais-je pu faire, alors que je ne suis qu'un pauvre petit degenere
 qui ne fait qu'appater le petit hacker, le Rambo du minitel, alors que moi
 je ne programme pas, je ne fais pratiquement rien. C'est pas moi qui me
 coltine chaque jour la redaction d'un bulletin de 51000 octets, qui est
 diffuse a 1400 responsables de la securite informatique, parmi lesquels
 la NASA, Interpol, tout le monde. Alors, soyons raisonnable...

RM: Est-ce que le systeme est raisonnable?

JBC: Le systeme doit, de temps en temps, ne pas etre raisonnable. Et sans
 ecraser des libertes, soit individuelles, soit collectives. Notre but,
 c'est aussi de montrer que la France sait se realiser dans ces points-la.
 Et nous devons aussi avoir un phare, qui s'appelle le CCCF, ou autre, qui
 doit etre, pour la Communaute internationale, la reference du piratage en
 France. Pourquoi? Il y en a dans tous les pays, mais il n'y en avait pas
 en France. Nous l'avons cree pour focaliser l'attention. Nous n'avons pas
 de CERT (Computer Emergency Recognizement Team - Centre de signalisation
 des evenements informatiques) pour signaler les ambulances de Londres ou
 la CAF de Vesoul, non cites dans la presse, si ce n'est dans Chaos Digest,
 mais nous voulons que les specialistes puissent etudier et avoir plus de
 billes pour repondre aux questions qui se presentent a eux. Nous ne sommes
 ni un organisme de piratage, ni d'anti-piratage. On etudie sur le plan
 sociologique, psychologique. Voila ce qui vous pose un probleme de
 positionnement. On est une equipe de chercheurs qui est donc dans la
 realisation. On a 400 demandes par semaine. On diffuse notre revue
 gratuitement, 1400 personnes la lisent, et ces personnes... A vous laisser
 pantois. On a 204 nouvelles demandes chaque semaine. Les Americains savent
 que la France est un vecteur d'originalite, de liberte. C'est a nous de
 l'imposer. Nous sommes repartis partout dans le monde. Les membres ne se
 reunissent jamais, sauf electroniquement. Donc, il n'y a pas de liste
 d'adresses des membres. Je connais globalement certains noms ou pseudos,
 mais je ne les ai jamais rencontres.

RM: Ne pas connaitre physiquement les gens, cela peut avoir quelques
 inconvenients. Le technicien de France Telecom accuse d'avoir casse des
 codes... Si vous ne les connaissez pas, vous ne pouvez pas savoir qui ils
 sont et de quoi ils sont capables. S'ils sont la pour vous aider, ou pour
 obtenir des infos qui leur permettent de casser...

JBC: Une depeche est sortie, c'est vrai: un technicien de France Telecom,
 grace au Chaos... Mais, ne pas connaitre... On connait toutes les activites
 d'un membre, jusqu'a savoir les operations qu'il a effectuees sur son CCP
 depuis dix ans. On connait la personne et chaque mouvement de son petit
 doigt. Mais on n'est pas force de l'avoir rencontree.

RM: Oui, mais s'il craque a un moment et qu'il fait quelque chose qu'il n'a
 jamais fait, vous ne pouvez pas le savoir.

JBC: Non... On a des grilles d'evaluation. Tenez, le FBI est tres tres
 soigneux la-dessus. On est co-editeur de FBI Presents, la grande revue
 electronique du FBI. Vous savez, les E-journals font partie d'un groupe,
 et sont publies dans un repertoire dit des 384. Ils ont des grilles
 d'evaluation de la degenerescence et des besoins des informaticiens. Dans
 le panel francais, il y a plusieurs organismes: le Clusif (Club de la
 securite informatique francaise) qui regroupe l'ensemble des societes;
 le Cigref qui s'occupe, entre autres, de securite informatique; il y a le
 CCCF, l'APP. Tous ne s'occupent pas que de securite: l'APP s'occupe de
 swapping. Ce n'est pas notre role. Le Clusif s'occupe... On ne sait pas
 de quoi. Quand je lis leurs textes, parfois, ca me fait rire. Manque de
 competences. Il n'existe pas un seul membre du Clusif qui soit susceptible
 d'etre membre du CCCF. L'interet du Clusif est de se developper et d'avoir
 des membres qui payent. Chez nous, les membres ne payent pas: on est la
 pour creer une dynamique. On m'a demande une fois si ce n'etait pas une
 confrerie. Je dirai carrement que c'est une loge.

RM: Ca y ressemble. C'est un critere comme un autre, mais quel rapport entre
 un bon informaticien et un membre de la Mensa?

JBC: Aucun.

RM: Sauf peut-etre l'idee qu'on se fait d'un groupe elitiste, mais d'un
 elitisme de la competence.

JBC: La competence est indispensable. Le media electronique est excessivement
 difficile a dompter. Il existe de grandes banques de donnees, des Host, qui
 possedent des fichiers qui repertorient l'ensemble des fichiers cruciaux,
 comme l'INPI (Institut national de la propriete industrielle), ou Francis,
 l'immense base de donnees du CNRS. Les Host ont des mode d'interrogation
 a chaque fois differents. En France, vous avez Questel, aux USA Dialog,
 il y en a des milliers, interrogeables en divers langages qu'il faut
 systematiquement etudier, et sous lesquels les ordinateurs travaillent.
 Il n'y a pas de langage unifie. On forme a ces langages. Pour les
 interroger, on fait le 3621, en 80 colonnes, on appelle le PAD, et on
 demande l'aiguillage vers n'importe quelle adresse informatique, les NUA
 (Network User Address). Cela necessite une autorisation, un NUI (Network
 User Identifier). Et France Telecom me reproche d'avoir utilise pendant
 une periode qui, si on divise la somme qu'on me reclame par le cout des
 communications, correspond a 15,8 annees d'interrogations non-stop! Donc
 on m'inculpe pour avoir utilise un NUI pendant 15,8 annees. Seul probleme,
 ils n'ont pas de preuve, et pour cause: je ne l'ai pas utilise! En fait
 c'est un immense guet-apens, surement tendu pour me faire taire. Ils y
 sont arrives. Le probleme, c'est que cela s'appelle perdre la confiance
 que vous aviez.

RM: Pourquoi vouloir vous faire taire? Vous m'avez dit tout a l'heure que
 vous travailliez avec le FBI. Est-ce que cela ne ferait pas de l'ombre
 aux services secrets francais? Ils ont du essayer de vous approcher...

JBC: Tous les services du monde ont essaye de nous approcher, sauf les
 services francais. Ils ne vous approchent pas. Ils vous pietinent, et
 apres ils vous demandent l'autorisation.

RM: Cela parait absurde.

JBC: Peut-etre. Mais peut-etre n'ont-ils pas les moyens. Les autres nous
 ont approches, qui venaient parfois de pays que je ne connaissais meme pas!
 La reponse a toujours ete non. Nous sommes la pour garantir l'integrite
 de l'information francaise. De toute facon, nous ne travaillons pas dans
 le "renseignement", qui est une information deformee, mal digeree. Nous,
 nous faisons de l'information.

RM: Je ne pensais pas a cela. Par exemple, le CCC de Hambourg est rentre
 dans les ordinateurs de la Nasa. Il n'est pas interdit de penser que, par
 exemple l'Agence Spatiale Europeenne pourrait, malgre son savoir-faire,
 etre interessee par certaines informations...

JBC: La procedure francaise ne le peut pas, dans le cas ou vous l'appliquez.
 Premierement, elle ne pourra jamais mettre en relation le pirate et
 l'officier de securite de l'organisme que vous avez cite, parce que l'on
 ne doit pas connaitre l'autre. "Ne doit pas" et non "ne peut pas": c'est
 un choix fait en France.

RM: J'en reviens toujours a cette idee: pourquoi vouloir vous faire taire?

JBC: Peut-etre aussi parce qu'on travaille benevolement, sans notion d'argent.
 Prenons le cas des virus. Je dis que la securite n'existe que si
 l'insecurite est creee. Si vous vous amusez a ne mettre dans l'ordinateur
 que des lettres tapees par une secretaire, pourquoi iriez-vous acheter un
 antivirus a 1600 ou 1700 francs? Ca ne sert purement a rien.

RM: Oui, mais s'il y a toute la comptabilite de l'entreprise dedans, sans
 sauvegarde?

JBC: Oui. Mais vous avez dit: sans sauvegarde. Ce qui vous aurait coute deux
 ou trois disquettes. Est-ce que vous comparez deux ou trois disquettes, ou
 une bonne information, au prix d'un logiciel antivirus, que deja vous
 n'arriverez pas a mettre en place? Et que dire des logiciels qui bloquent
 l'acces au micro... C'est tellement chiant que parfois on nous appelle pour
 nous dire: "J'ai bloque mon micro, j'y ai des tas de donnees hypersensibles,
 je ne peux pas rentrer dedans." Est-ce que c'est ca, cette notion de
 securite? Elle est mal placee. J'ai ecrit un livre qui va sortir et qui
 s'appelle "C'est decide, j'ecris un virus". Il devait sortir en septembre
 1992 mais, apres maints rebondissements cocasses, il sort en septembre 1993.
 Si l'editeur ne trouve pas encore un pretexte pour ne pas le sortir.

RM: C'est un sujet qui suscite des resistances. Quand on veut questionner un
 grand fabricant, un editeur ou un distributeur de logiciels, ils vous
 jettent.

JBC: C'est normal. Mais on a tout de meme publie une bonne centaine de codes
 source dans Chaos Digest, qui permettent aux chercheurs de les connaitre,
 de les etudier. Et surtout les derniers sortis. On publie celui qui est
 sorti il y a deux jours, et l'article est generalement signe de l'auteur
 lui-meme, ou d'un grand specialiste de l'Eicar ou de l'EFF. Mais plutot que
 de s'occuper des virus, qui est un petit probleme, on prefere tres
 clairement denoncer beaucoup d'abus realises par des pseudo-professionnels.
 Mais de GROS abus. Je vous ai explique celui du marquage. Je pourrais meme
 vous donner des dizaines de noms de societes qui font des "autocollants
 antivol". Soi-disant, ils repercutent le numero des machines volees aux
 constructeurs. J'ai interroge les dix premiers constructeurs de Paris:
 personne n'a eu vent des repercussions de materiel vole. Il faudrait un
 marquage pour l'ecran, pour le clavier, pour l'unite centrale, de plus le
 materiel passe par des intermediaires, grossistes, revendeurs, il est
 revendu... Les constructeurs ne pourraient pas suivre l'ensemble de leurs
 materiels a la trace. Soyons realistes.

RM: Je reviens aux virus. Si j'ai bien compris ce que vous dites, le marche
 des antivirus prospere en fait sur un probleme tout petit.

JBC: Tellement petit qu'il n'y a rien du tout. Dans le livre, il y a ce qu'
 est reellement qu'un virus, comment c'est construit, qu'est-ce qu'il y a
 a l'interieur, comment ca attaque... Et les limites du fantasme! Le vrai
 nom du virus informatique est CPA, code parasite autopropageable.

RM: Que le virus soit une tempete dans un verre d'eau, ce n'est pas une idee
 vraiment habituelle...

JBC: Le bouquin vous montrera, apres que vous ayez analyse quinze virus et
 que vous en ayez ecrit vous-meme, que ce sera toujours limite. D'abord par
 le temps, ensuite par le fait que vous ne pourrez jamais avoir d'idees
 suffisamment originales pour biaiser les systemes de controle, de
 l'antivirus de Dos 6 par exemple. J'ai meme ecrit dans la preface du
 bouquin qui va sortir, qu'a la limite, deux machines PC sur mille sont
 contaminables, en potentiel.

RM: Contaminables?

JBC: C'est-a-dire susceptibles de recevoir l'intrusion d'un virus, en
 globalite en France. Deux pour mille! Est-ce qu'un probleme de deux pour
 mille est a considerer avec autant de force que des problemes plus precis,
 comme l'integration du telex dans le Numeris, l'accession de telles
 ressources, etc. Par exemple, le nouveau systeme de gestion des billets de
 la SNCF, qui me semble plus terrorisant quand on y penseI Avant, je faisais
 l'aller-retour tous les jours de Paris a Lyon. Et ils ont mis en place
 Dagobert, les bornes. La SNCF a mis deux enarques pour y reflechir de
 nouveau. Notre abonnement a l'annee passait avec une formule tellement
 compliquee qu'il etait impossible de monter dans un TGV. Il m'arrivait de
 payer jusqu'a 100 a 120 francs de taxes, surtaxes, amendes, etc. En un
 mois, je me suis retrouve avec mon abonnement (3200 francs) qui couvrait
 globalement une location a Paris, plus les amendes, environ 2000 francs!

RM: C'est une absurdite totale.

JBC: Oui. Alors, je suis alle voir la direction commerciale de la SNCF, ou
 j'ai recu un tres mauvais accueil... J'ai stoppe mon abonnement. Du jour au
 lendemain, ils m'ont perdu, alors que j'etais TGVE, grand voyageur. Et je
 n'ai plus du tout envie. Pourquoi? Parce que ce service est totalement mal
 fait, mal reflechi. Ca me semble donc plus important d'etudier le nouveau
 systeme de reservation SNCF, qui interesse 998 personnes sur mille, que de
 se casser la tete sur un probleme de deux pour mille, celui des virus. On
 s'interesse aux troubles dus aux dysfonctionnements des automates. Et Dieu
 sait s'il y en a! On ne les etudie pas pour embeter les fabricants, mais
 pour montrer que nous aussi on a un processus de reflexion a ce niveau-la.

RM: Vous travaillez avec beaucoup d'entreprises?

JBC: Avec des entreprises, des donneurs d'ordres, des chercheurs. Avec tous
 ceux qui peuvent ameliorer le schmilblic.

RM: Donc, vous avez une certaine credibilite aupres des entreprises. Comment
 expliquer vos problemes avec l'administration?

JBC: Moi, personnellement, je n'ai aucun probleme. Je n'en veux a personne.
 C'est l'administration qui a des problemes avec moi.

RM: On comprend mal pourquoi ils vous en veulent.

JBC: Il faut le leur demander. Je vous avoue que moi-meme, je ne suis pas
 parvenu a avoir de reponse, ce qui est un peu inquietant.

RM: J'ai vu aussi que France Telecom avait une attitude ambigue envers vous.
 Tantot ils vous font des proces, tantot ils vous invitent dans des
 colloques...

JBC: C'est vous-meme qui le dites. Il est vrai que plus l'organisme est
 grand, plus une partie ignore ce que fait l'autre. C'est "tentaculesque"...
 Ca s'appelle la loi de la reticularite. Nous, on essaie de respecter une
 autre loi, celle de l'ethique. On essaie de  reevaluer, ce qui veut dire
 qu'on essaie de trouver, dans le meilleur des cas, la meilleure des
 solutions. C'est etre intelligent dans une situation chaotique.

------------------------------

End of Chaos Digest #1.73
************************************

You are viewing proxied material from infinitelyremote.com. The copyright of proxied material belongs to its original authors. Any comments or complaints in relation to proxied material should be directed to the original authors of the content concerned. Please see the disclaimer for more details.