Chaos Digest               Jeudi 5 Aout 1993        Volume 1 : Numero 73
                            ISSN  1244-4901

       Editeur: Jean-Bernard Condat (jbcondat@attmail.com)
       Archiviste: Yves-Marie Crabbe
       Co-Redacteurs: Arnaud Bigare, Stephane Briere

TABLE DES MATIERES, #1.73 (5 Aout 1993)
File 1--"Faut-il crucifier Condat?" par Jack Tajtelbom (sensationnel)

Chaos Digest is a weekly electronic journal/newsletter. Subscriptions are
available at no cost by sending a message to:
                linux-activists-request@niksula.hut.fi
with a mail header or first line containing the following informations:
                    X-Mn-Admin: join CHAOS_DIGEST

The editors may be contacted by voice (+33 1 47874083), fax (+33 1 47877070)
or S-mail at: Jean-Bernard Condat, Chaos Computer Club France [CCCF], B.P.
155, 93404 St-Ouen Cedex, France.  He is a member of the EICAR and EFF (#1299)
groups.

Issues of ChaosD can also be found from the ComNet in Luxembourg BBS (+352)
466893.  Back issues of ChaosD can be found on the Internet as part of the
Computer underground Digest archives. They're accessible using anonymous FTP:

        * kragar.eff.org [192.88.144.4] in /pub/cud/chaos
        * uglymouse.css.itd.umich.edu [141.211.182.53] in /pub/CuD/chaos
        * halcyon.com [192.135.191.2] in /pub/mirror/cud/chaos
        * ftp.cic.net [192.131.22.2] in /e-serials/alphabetic/c/chaos-digest
        * cs.ubc.ca [137.82.8.5] in /mirror3/EFF/cud/chaos
        * nic.funet.fi [128.214.6.100] in /pub/doc/cud/chaos
        * orchid.csv.warwick.ac.uk [137.205.192.5] in /pub/cud/chaos

CHAOS DIGEST is an open forum dedicated to sharing French information among
computerists and to the presentation and debate of diverse views. ChaosD
material may be reprinted for non-profit as long as the source is cited.
Some authors do copyright their material, and they should be contacted for
reprint permission.  Readers are encouraged to submit reasoned articles in
French, English or German languages relating to computer culture and
telecommunications.  Articles are preferred to short responses.  Please
avoid quoting previous posts unless absolutely necessary.

DISCLAIMER: The views represented herein do not necessarily represent
            the views of the moderators. Chaos Digest contributors
            assume all responsibility for ensuring that articles
            submitted do not violate copyright protections.

----------------------------------------------------------------------

Date: 27 May 93 03:59:59 GMT
From: cccf@altern.com (Jean-Bernard Condat )
Subject: File 1--"Faut-il crucifier Condat?" par Jack Tajtelbom (sensationnel)
Reprint from: 'Reponse Micro', no. 11, Aout-Sept. 93, pp. 122-26

   [Cover Page: <picture> La folle histoire du CCCF et de son fondateur]

               Confessions d'un hacker sous surveillance

                       FAUT-IL CRUCIFIER CONDAT?
                               Interview

+----------------------------------------------------------------------------+
| Vingt-sept ans, consultant dans une grande societe de services specialisee |
| Jean-Bernard Condat, popularise par de nombreux passages tele, est         |
| surtout connu comme secretaire general du Chaos Computer Club de           |
| France; un groupe quasiment occulte, compose de genies informatiques       |
| capables de percer les meilleurs systemes.  Mais dans quel but?  Pirater   |
| ou moraliser?  C'est ce que nous avons essaye de savoir.                   |
+----------------------------------------------------------------------------+

  En 1991, Jean-Bernard Condat a les honneurs de la grande presse.  On l'
empeche de faire une demonstration dans l'emission _Mardi Soir_, sur A2, ou
il avait promis de penetrer des fichiers bancaires.  Deux jours plus tard,
dans les locaux de _France Soir_, il rentre dans les systemes informatiques
de la CEE et de la NASA.  Parallelement, il est accuse par France Telecom
d'avoir pirate ses banques de donnees internationales, avec l'aide d'un
technicien qui lui aurait fourni les codes.  France Telecom lui reclame
250000 francs.  Deux ans apres, l'affaire n'est toujours pas jugee.  Mais
Condat, sous controle judiciaire et sous astreinte financiere, etroitement
surveille, et psychologiquement epuise, refuse toujours de se taire.

RM: Commencons par votre parcours.  Comment etes-vous rentre dans ces reseaux
  d'information, comment vous etes-vous interesse a l'informatique, et puis
  a la formation?

JBC: J'ai eu mon bac a seize ans et demi. A cette epoque, je ne faisais pas
  d'informatique. Je suis monte a Lyon pour faire de l'acoustique, avec un
  seul "c". Mon prof de physique musicale ecrivait "accoustique", avec deux
  "c"... Cette erreur m'a fait prendre conscience que pour faire de la
  musicologie - musique-au-logis, comme marechal-des-logis - en fait il
  suffisait de gratouiller une guitare. Je me suis dit: "Stop, on va etre
  plus serieux." Et cela m'a amene a faire Math sup et Math spe et a
  m'interesser Ptout en poursuivant mon doctoratP a quelque chose de plus
  rigoureux: l'etude des outils permettant de transmettre l'information.
  A l'IUT de Lyon, j'ai decouvert le Cobol, les machines (Commodore 64), etc
  J'etais un eleve turbulent, foncierement penible, totalement asocial. A
  l'epoque, j'avais envie de savoir pourquoi l'outil informatique ne servait
  a rien. C'est comme un stylo Mont-Blanc, pas fait pour autre chose que de
  se trouver pose a l'horizontale sur la table. L'outil, il faut savoir s'en
  servir, l'appliquer a quelque chose. L'informatique doit s'appliquer.
  Bizarrement, en France, l'informatique ne s'appliquait qu'a la gestion.
  On passait des BTS d'informatique de gestion. A l'epoque, on n'avait pas
  de minitel. Et apparaissaient a ce moment des maladies ou des instruments
  bizarres, comme les lunettes pour informaticiens. Je me suis rendu compte
  que l'informatique pouvait bouffer les organes. Elle peut vous manger les
  yeux a force de regarder l'ecran. Je me suis dit: "Pourquoi ne pas etudier
  tous ces elements-la?" Et alors est arrive un incident que personne
  pratiquement n'a rapporte: un jour, le fils d'un banquier suisse de Geneve,
  autiste, me voit passer a la tele... Il trouve ca genial, dit deux ou trois
  mots devant ses parents. Il avait a peu pres treize ans, et le pere, qui
  ne l'avait jamais entendu parler, me fait rechercher. Il me retrouve.
  Depuis ce moment, j'ai vu que les jeux video pouvaient soigner les
  deficiences parlees ou emotives. J'ai pense: "C'est bizarre, l'informatique
  peut detruire tes yeux, tout comme les notes de musique (je suis organiste),
  mais aussi reparer, comme ce gosse." Au bout d'une annee, en jouant avec
  lui toutes les 2/3 semaines pendant un week-end entier, on etait arrive
  a lui rendre une dignite, la dignite de la parole. C'est a ce moment, avec
  quatre copains, en psycho, en psychiatrie - aucun en informatique - que
  nous avons cree un groupe. On ne trouvait pas de nom. On a reflechi, et
  on est tombe sur une publication du Chaos Computer Club de Hambourg. Et
  on a trouve que "CCC France," ca convenait pour reveiller plusieurs
  notions: attention, l'informatique c'est dangereux; ca peut casser; ca
  peut reparer... C'est un outil qui peut etre aussi bien tres bon que tres
  mauvais. Pour creer ce groupe, on a commence a quatre, de la faculte
  catholique de Lyon. Et on a eu les pires incidents de la planete parce
  qu'on s'interessait a un milieu frequente par plusieurs types: les gentils
  et les mechants. Qui sont les gentils? Tous ceux qui traquent les mechants.
  Et les mechants, ce sont tous ceux qui soi-disant volent, "hackent,
  swappent, freakent". Le swapping, c'est le piratage des logiciels. Le
  hacking, c'est s'introduire dans les gros systemes, les banques de donnees.
  Et le freaking, c'est comment arriver, depuis n'importe quelle cabine
  telephonique, et sans carte, a telephoner partout dans le monde. Si on
  etudie cela, ce n'est pas pour faire mieux qu'eux, les recenser, ou apporter
  aux services secrets de quoi les aider a travailler. Nous, on essaie 1) de
  former 2) d'informer 3) de prevenir. On le fait en disant aux grands
  utilisateurs quelles sont les faiblesses de leurs systemes, de leur
  approche, de leur methodologie, etc. Quand je vois, par exemple, un
  organisme qui verse de l'argent a des personnes necessiteuses, la Caisse
  d'Allocations Familiales de Vesoul qui a paye deux fois le RMI a 22000
  personnes au mois de mai... Comment imaginer la recuperation du deuxieme
  versement?

RM: Sur les versements ulterieurs...

JBC: Sur 22000 personnes necessiteuses! En voyant cela, elles se sont dit:
  "Merci, Seigneur!" Comment vous allez leur arracher? Il va y avoir des
  cris et des grincements de dents. Nous, ce qu'on souhaiterait pour eviter
  ce genre de situation c'est, non pas stopper, on ne peut pas stopper une
  erreur humaine ou informatique, mais prevenir, porter une reflexion. Autre
  exemple, les ambulances de Londres. Ils ont change leur systeme a fiches,
  entierement manuel, par un nouveau, informatise. Seul probleme, cela s'est
  fait avec tellement de douleur qu'il y a eu quarante-sept morts! 47
  personnes qu'on n'a pas pu sauver parce que le systeme etait mal regule
  par rapport a l'ancienne methode.

  Nous, nous aimerions trouver ce petit aspect humain, adapte a la France, et
  securiser les fameux systemes d'informations. Y compris pour l'acces: la
  CNIL n'est qu'une soupape de securite. Nous aimerions apporter notre
  opinion. Cela ne peut etre que tres mal vu par tous les facteurs et les
  elements que constitue la chaine de securisation, en partant du
  constructeur, l'utilisateur, le pirate, etc., mal vu par beaucoup de monde
  parce qu'on leur mange des reflexions. On detourne leur flot de profits.
  Vous imaginez que si on dit: "Aie, votre systeme..." Une centaine de
  personnes ne travaillent plus pendant trois mois. Donc, on nous reproche
  de casser du sucre, de brader le marche, de dire ce qu'il ne faut pas dire.
  Alors, depuis tres peu de temps, on ne dit rien. On est tellement bride
  qu'on ne dit absolument plus rien. Donc reponse, pas micro, mais reponse
  mini.

RM: Parlez-moi encore de la genese de ce groupe. Il n'est malgre tout pas
  innocent de s'appeler Chaos Computer Club...

JBC: On s'appelle Chaos Computer Club France.

RM: Bien sur, mais c'est une subtilite semantique qui ne fait pas oublier
  que le CCC, c'est aussi Hambourg.

JBC: CCC, c'est Hambourg. CCCF, c'est nous. Ca, c'est clair. Ce sont deux
  structures totalement separees. Mais semantiquement, on a bien recherche
  a ce que l'une evoque l'autre.

RM: Pour proteger les systemes, il faut bien les connaitre. C'est a double
  tranchant. Il faut pouvoir rentrer dedans - ce qu'on vous a reproche
  plusieurs fois - et apprendre a les proteger pour que d'autres n'y rentrent
  plus.

JBC: Comment font les constructeurs et les consultants en securite
  informatique? On ne fait pas autrement qu'eux, mais nous, on n'a pas leurs
  moyens... on n'intervient pas sur la vie des gens, on n'utilise pas
  abusivement la liste rouge. On ne pietine pas la vie de certaines personnes
  privees. On ne les assigne pas dans des histoires foireuses en les
  inculpant pendant deux ans. Pourquoi, alors, fait-on taire les personnes?

RM: Est-ce que, justement, ce n'est pas parce que vous etes independants?
  Vous ne dependez pas des Telecom.

JBC: On est 72, on recoit 1800 lettres par semaine, mais on est independants.
  Nous ne sommes pas une association mais un groupe de fait.

RM: Est-ce que ce n'est pas cela qui les gene? On ne peut pas vous controler.

JBC: Pourquoi? Mais le Clusif (Club de la securite informatique francaise)
  a ete tres longtemps une association de fait. Puis ils se sont mis a faire
  une association type loi 1901. Mais ils ont vecu, je pense, le meilleur de
  leur vie en etant un groupe comme nous. Donc, votre argumentation, on peut
  l'appliquer aussi au Clusif, le plus grand club.

RM: Qui en faisait partie?

JBC: Les responsables de la securite de toutes les plus grandes entreprises
  francaises, celles qui ont du fric et qui payent.

RM: Donc des gens...

JBC: Au-dessous de tout soupcon! Nous, on est aux ordres de notre conscience:
  ne pas casser, ne generer que du bien. C'est notre but. On n'est pas la
  pour embeter quiconque. Ils ne l'ont pas compris. On est la pour faire
  avancer le schmilblic, diffuser une information que personne n'arrive a
  obtenir. On fait connaitre des produits de securite francais, des
  services... Par exemple, on dit que le marquage des ordinateurs est
  inutile. Certaines societes s'amusent a marquer, avec une plaquette
  "anti-arrachable", les ordinateurs. Mais si je marque un parc de cent
  micros, cela va me couter une fortune. Si un voleur me prend ma machine,
  qu'est-ce que vous voulez qu'il en fasse de ce marquage? Il le vole avec.
  Donc, je dis clairement que le marquage des moyens informatiques ne sert
  a rien. Nous denoncons cet abus total. A une certaine epoque, pour utiliser
  les cartes Pastel, il fallait dicter le numero de la carte, qui
  correspondait au numero de telephone, et le code secret, suivi du numero
  du correspondant. Vous imaginez bien qu'il y a eu des milliers de petits
  freakers qui s'amusaient, dans le hall des grands hotels du monde entier,
  a ecouter: "Bonjour, c'est une communication par carte Pastel
  internationale, voici mon numero, mon code secret, le numero que je veux
  appeler..." Imaginez-vous qu'en six minutes de demonstration, avec une
  grande chaine de tele (FR3), j'en ai recolte six ou sept, dans le hall de
  l'hotel Hilton a Paris. En ne faisant rien. C'est ce qu'on veut prevenir.
  Une chose tres amusante, par exemple: dans le Numeris, le telex n'est pas
  integre. Autre exemple: il existe des Actel, agences France Telecom, dans
  lesquelles les mots de passe des serveurs de demonstration se trouvent
  graves sur les minitels qui servent aux demonstrations.  Transpac offre
  un service, Atlas 400, non connectable a Internet. Donc, les 4739 users
  d'Atlas 400 sont des grands comptes qui s'echangent entre eux a grands
  frais des messages, on se demande pourquoi... Si ce n'est pour remplir
  les caisses de Transpac, mais certes pas dans un but d'efficacite. En plus,
  les enveloppes electroniques d'Atlas sont tres mal faites, du moins
  tellement complexes qu'on s'amuse... Et la convivialite du service est a se
  tordre de rire. Exemple, pour lire les messages, c'est pas Read, ou R, ou
  Envoi; c'est LIRMES. Comment vider sa Boite aux lettres? C'est pas Delete
  all, ou "supprime les tous"; c'est VIDBAL... C'est clair... Et comment se
  deconnecter du serveur? Par une coupure a chaud! Clac! Parce que la
  commande Quit, ou End, n'existe pas. C'est pas serieux. Heureusement, les
  petits serveurs comme Altern en 3616, ou Email en 3617 remedient avec
  beaucoup d'elegance a cette lacune. Et quand on demande a Transpac pourquoi
  Atlas 400 n'est pas accessible, ils repondent que c'est parce qu'ils ne
  savent pas refacturer le service a leurs utilisateurs.

  Au CCCF nous ne sommes que 72, on ne peut pas etre plus dans notre groupe...
  On les prend a la sortie de Polytechnique, generalement ils sont membres
  de la Mensa, sains de corps et d'esprit, ayant de quoi vivre largement
  au-dessus de leurs moyens, et moi je suis la carotte. Moi, je suis
  secretaire general, je suis la pour parler et emettre, mais je suis le
  plus con de tous. En informatique, je ne sais rien. Je ne suis pas la
  cheville ouvriere, mais la reine (ou le roi) visible de l'essaim.

RM: Cet aspect mediatique, deja, c'est une garantie...

JBC: Vous avez compris la finalite. Quand on a annonce, une fois, qu'un virus
  nomme Daniela, avec un petit moteur d'inference, une base de donnees, une
  base de connaissances, allait sortir, Remi Bellon, de l'AFP, a fait une
  depeche de 350 mots pour l'expliquer. Ca a tellement tripatouille les gens
  que le virus, on ne l'a jamais vu, sauf dans les archives des
  "virusologues".

RM: Le virus n'existait pas?

JBC: Si. Mais on est arrive a trouver la parade qui bloquait son vecteur de
  propagation. Et on n'a pu le faire que grace a cette depeche, qui a genere
  une centaine d'articles. Alors, quand on m'interdit de me presenter sur
  les lieux des JO d'Albertville, parce que je risque de troubler la securite
  de ce site a ce moment-la, cela fait sourire. Parce que je ne vois pas en
  quoi ma petite personne aurait pu troubler l'immense realisation des JO.
  Qu'aurais-je pu faire, alors que je ne suis qu'un pauvre petit degenere
  qui ne fait qu'appater le petit hacker, le Rambo du minitel, alors que moi
  je ne programme pas, je ne fais pratiquement rien. C'est pas moi qui me
  coltine chaque jour la redaction d'un bulletin de 51000 octets, qui est
  diffuse a 1400 responsables de la securite informatique, parmi lesquels
  la NASA, Interpol, tout le monde. Alors, soyons raisonnable...

RM: Est-ce que le systeme est raisonnable?

JBC: Le systeme doit, de temps en temps, ne pas etre raisonnable. Et sans
  ecraser des libertes, soit individuelles, soit collectives. Notre but,
  c'est aussi de montrer que la France sait se realiser dans ces points-la.
  Et nous devons aussi avoir un phare, qui s'appelle le CCCF, ou autre, qui
  doit etre, pour la Communaute internationale, la reference du piratage en
  France. Pourquoi? Il y en a dans tous les pays, mais il n'y en avait pas
  en France. Nous l'avons cree pour focaliser l'attention. Nous n'avons pas
  de CERT (Computer Emergency Recognizement Team - Centre de signalisation
  des evenements informatiques) pour signaler les ambulances de Londres ou
  la CAF de Vesoul, non cites dans la presse, si ce n'est dans Chaos Digest,
  mais nous voulons que les specialistes puissent etudier et avoir plus de
  billes pour repondre aux questions qui se presentent a eux. Nous ne sommes
  ni un organisme de piratage, ni d'anti-piratage. On etudie sur le plan
  sociologique, psychologique. Voila ce qui vous pose un probleme de
  positionnement. On est une equipe de chercheurs qui est donc dans la
  realisation. On a 400 demandes par semaine. On diffuse notre revue
  gratuitement, 1400 personnes la lisent, et ces personnes... A vous laisser
  pantois. On a 204 nouvelles demandes chaque semaine. Les Americains savent
  que la France est un vecteur d'originalite, de liberte. C'est a nous de
  l'imposer. Nous sommes repartis partout dans le monde. Les membres ne se
  reunissent jamais, sauf electroniquement. Donc, il n'y a pas de liste
  d'adresses des membres. Je connais globalement certains noms ou pseudos,
  mais je ne les ai jamais rencontres.

RM: Ne pas connaitre physiquement les gens, cela peut avoir quelques
  inconvenients. Le technicien de France Telecom accuse d'avoir casse des
  codes... Si vous ne les connaissez pas, vous ne pouvez pas savoir qui ils
  sont et de quoi ils sont capables. S'ils sont la pour vous aider, ou pour
  obtenir des infos qui leur permettent de casser...

JBC: Une depeche est sortie, c'est vrai: un technicien de France Telecom,
  grace au Chaos... Mais, ne pas connaitre... On connait toutes les activites
  d'un membre, jusqu'a savoir les operations qu'il a effectuees sur son CCP
  depuis dix ans. On connait la personne et chaque mouvement de son petit
  doigt. Mais on n'est pas force de l'avoir rencontree.

RM: Oui, mais s'il craque a un moment et qu'il fait quelque chose qu'il n'a
  jamais fait, vous ne pouvez pas le savoir.

JBC: Non... On a des grilles d'evaluation. Tenez, le FBI est tres tres
  soigneux la-dessus. On est co-editeur de FBI Presents, la grande revue
  electronique du FBI. Vous savez, les E-journals font partie d'un groupe,
  et sont publies dans un repertoire dit des 384. Ils ont des grilles
  d'evaluation de la degenerescence et des besoins des informaticiens. Dans
  le panel francais, il y a plusieurs organismes: le Clusif (Club de la
  securite informatique francaise) qui regroupe l'ensemble des societes;
  le Cigref qui s'occupe, entre autres, de securite informatique; il y a le
  CCCF, l'APP. Tous ne s'occupent pas que de securite: l'APP s'occupe de
  swapping. Ce n'est pas notre role. Le Clusif s'occupe... On ne sait pas
  de quoi. Quand je lis leurs textes, parfois, ca me fait rire. Manque de
  competences. Il n'existe pas un seul membre du Clusif qui soit susceptible
  d'etre membre du CCCF. L'interet du Clusif est de se developper et d'avoir
  des membres qui payent. Chez nous, les membres ne payent pas: on est la
  pour creer une dynamique. On m'a demande une fois si ce n'etait pas une
  confrerie. Je dirai carrement que c'est une loge.

RM: Ca y ressemble. C'est un critere comme un autre, mais quel rapport entre
  un bon informaticien et un membre de la Mensa?

JBC: Aucun.

RM: Sauf peut-etre l'idee qu'on se fait d'un groupe elitiste, mais d'un
  elitisme de la competence.

JBC: La competence est indispensable. Le media electronique est excessivement
  difficile a dompter. Il existe de grandes banques de donnees, des Host, qui
  possedent des fichiers qui repertorient l'ensemble des fichiers cruciaux,
  comme l'INPI (Institut national de la propriete industrielle), ou Francis,
  l'immense base de donnees du CNRS. Les Host ont des mode d'interrogation
  a chaque fois differents. En France, vous avez Questel, aux USA Dialog,
  il y en a des milliers, interrogeables en divers langages qu'il faut
  systematiquement etudier, et sous lesquels les ordinateurs travaillent.
  Il n'y a pas de langage unifie. On forme a ces langages. Pour les
  interroger, on fait le 3621, en 80 colonnes, on appelle le PAD, et on
  demande l'aiguillage vers n'importe quelle adresse informatique, les NUA
  (Network User Address). Cela necessite une autorisation, un NUI (Network
  User Identifier). Et France Telecom me reproche d'avoir utilise pendant
  une periode qui, si on divise la somme qu'on me reclame par le cout des
  communications, correspond a 15,8 annees d'interrogations non-stop! Donc
  on m'inculpe pour avoir utilise un NUI pendant 15,8 annees. Seul probleme,
  ils n'ont pas de preuve, et pour cause: je ne l'ai pas utilise! En fait
  c'est un immense guet-apens, surement tendu pour me faire taire. Ils y
  sont arrives. Le probleme, c'est que cela s'appelle perdre la confiance
  que vous aviez.

RM: Pourquoi vouloir vous faire taire? Vous m'avez dit tout a l'heure que
  vous travailliez avec le FBI. Est-ce que cela ne ferait pas de l'ombre
  aux services secrets francais? Ils ont du essayer de vous approcher...

JBC: Tous les services du monde ont essaye de nous approcher, sauf les
  services francais. Ils ne vous approchent pas. Ils vous pietinent, et
  apres ils vous demandent l'autorisation.

RM: Cela parait absurde.

JBC: Peut-etre. Mais peut-etre n'ont-ils pas les moyens. Les autres nous
  ont approches, qui venaient parfois de pays que je ne connaissais meme pas!
  La reponse a toujours ete non. Nous sommes la pour garantir l'integrite
  de l'information francaise. De toute facon, nous ne travaillons pas dans
  le "renseignement", qui est une information deformee, mal digeree. Nous,
  nous faisons de l'information.

RM: Je ne pensais pas a cela. Par exemple, le CCC de Hambourg est rentre
  dans les ordinateurs de la Nasa. Il n'est pas interdit de penser que, par
  exemple l'Agence Spatiale Europeenne pourrait, malgre son savoir-faire,
  etre interessee par certaines informations...

JBC: La procedure francaise ne le peut pas, dans le cas ou vous l'appliquez.
  Premierement, elle ne pourra jamais mettre en relation le pirate et
  l'officier de securite de l'organisme que vous avez cite, parce que l'on
  ne doit pas connaitre l'autre. "Ne doit pas" et non "ne peut pas": c'est
  un choix fait en France.

RM: J'en reviens toujours a cette idee: pourquoi vouloir vous faire taire?

JBC: Peut-etre aussi parce qu'on travaille benevolement, sans notion d'argent.
  Prenons le cas des virus. Je dis que la securite n'existe que si
  l'insecurite est creee. Si vous vous amusez a ne mettre dans l'ordinateur
  que des lettres tapees par une secretaire, pourquoi iriez-vous acheter un
  antivirus a 1600 ou 1700 francs? Ca ne sert purement a rien.

RM: Oui, mais s'il y a toute la comptabilite de l'entreprise dedans, sans
  sauvegarde?

JBC: Oui. Mais vous avez dit: sans sauvegarde. Ce qui vous aurait coute deux
  ou trois disquettes. Est-ce que vous comparez deux ou trois disquettes, ou
  une bonne information, au prix d'un logiciel antivirus, que deja vous
  n'arriverez pas a mettre en place? Et que dire des logiciels qui bloquent
  l'acces au micro... C'est tellement chiant que parfois on nous appelle pour
  nous dire: "J'ai bloque mon micro, j'y ai des tas de donnees hypersensibles,
  je ne peux pas rentrer dedans." Est-ce que c'est ca, cette notion de
  securite? Elle est mal placee. J'ai ecrit un livre qui va sortir et qui
  s'appelle "C'est decide, j'ecris un virus". Il devait sortir en septembre
  1992 mais, apres maints rebondissements cocasses, il sort en septembre 1993.
  Si l'editeur ne trouve pas encore un pretexte pour ne pas le sortir.

RM: C'est un sujet qui suscite des resistances. Quand on veut questionner un
  grand fabricant, un editeur ou un distributeur de logiciels, ils vous
  jettent.

JBC: C'est normal. Mais on a tout de meme publie une bonne centaine de codes
  source dans Chaos Digest, qui permettent aux chercheurs de les connaitre,
  de les etudier. Et surtout les derniers sortis. On publie celui qui est
  sorti il y a deux jours, et l'article est generalement signe de l'auteur
  lui-meme, ou d'un grand specialiste de l'Eicar ou de l'EFF. Mais plutot que
  de s'occuper des virus, qui est un petit probleme, on prefere tres
  clairement denoncer beaucoup d'abus realises par des pseudo-professionnels.
  Mais de GROS abus. Je vous ai explique celui du marquage. Je pourrais meme
  vous donner des dizaines de noms de societes qui font des "autocollants
  antivol". Soi-disant, ils repercutent le numero des machines volees aux
  constructeurs. J'ai interroge les dix premiers constructeurs de Paris:
  personne n'a eu vent des repercussions de materiel vole. Il faudrait un
  marquage pour l'ecran, pour le clavier, pour l'unite centrale, de plus le
  materiel passe par des intermediaires, grossistes, revendeurs, il est
  revendu... Les constructeurs ne pourraient pas suivre l'ensemble de leurs
  materiels a la trace. Soyons realistes.

RM: Je reviens aux virus. Si j'ai bien compris ce que vous dites, le marche
  des antivirus prospere en fait sur un probleme tout petit.

JBC: Tellement petit qu'il n'y a rien du tout. Dans le livre, il y a ce qu'
  est reellement qu'un virus, comment c'est construit, qu'est-ce qu'il y a
  a l'interieur, comment ca attaque... Et les limites du fantasme! Le vrai
  nom du virus informatique est CPA, code parasite autopropageable.

RM: Que le virus soit une tempete dans un verre d'eau, ce n'est pas une idee
  vraiment habituelle...

JBC: Le bouquin vous montrera, apres que vous ayez analyse quinze virus et
  que vous en ayez ecrit vous-meme, que ce sera toujours limite. D'abord par
  le temps, ensuite par le fait que vous ne pourrez jamais avoir d'idees
  suffisamment originales pour biaiser les systemes de controle, de
  l'antivirus de Dos 6 par exemple. J'ai meme ecrit dans la preface du
  bouquin qui va sortir, qu'a la limite, deux machines PC sur mille sont
  contaminables, en potentiel.

RM: Contaminables?

JBC: C'est-a-dire susceptibles de recevoir l'intrusion d'un virus, en
  globalite en France. Deux pour mille! Est-ce qu'un probleme de deux pour
  mille est a considerer avec autant de force que des problemes plus precis,
  comme l'integration du telex dans le Numeris, l'accession de telles
  ressources, etc. Par exemple, le nouveau systeme de gestion des billets de
  la SNCF, qui me semble plus terrorisant quand on y penseI Avant, je faisais
  l'aller-retour tous les jours de Paris a Lyon. Et ils ont mis en place
  Dagobert, les bornes. La SNCF a mis deux enarques pour y reflechir de
  nouveau. Notre abonnement a l'annee passait avec une formule tellement
  compliquee qu'il etait impossible de monter dans un TGV. Il m'arrivait de
  payer jusqu'a 100 a 120 francs de taxes, surtaxes, amendes, etc. En un
  mois, je me suis retrouve avec mon abonnement (3200 francs) qui couvrait
  globalement une location a Paris, plus les amendes, environ 2000 francs!

RM: C'est une absurdite totale.

JBC: Oui. Alors, je suis alle voir la direction commerciale de la SNCF, ou
  j'ai recu un tres mauvais accueil... J'ai stoppe mon abonnement. Du jour au
  lendemain, ils m'ont perdu, alors que j'etais TGVE, grand voyageur. Et je
  n'ai plus du tout envie. Pourquoi? Parce que ce service est totalement mal
  fait, mal reflechi. Ca me semble donc plus important d'etudier le nouveau
  systeme de reservation SNCF, qui interesse 998 personnes sur mille, que de
  se casser la tete sur un probleme de deux pour mille, celui des virus. On
  s'interesse aux troubles dus aux dysfonctionnements des automates. Et Dieu
  sait s'il y en a! On ne les etudie pas pour embeter les fabricants, mais
  pour montrer que nous aussi on a un processus de reflexion a ce niveau-la.

RM: Vous travaillez avec beaucoup d'entreprises?

JBC: Avec des entreprises, des donneurs d'ordres, des chercheurs. Avec tous
  ceux qui peuvent ameliorer le schmilblic.

RM: Donc, vous avez une certaine credibilite aupres des entreprises. Comment
  expliquer vos problemes avec l'administration?

JBC: Moi, personnellement, je n'ai aucun probleme. Je n'en veux a personne.
  C'est l'administration qui a des problemes avec moi.

RM: On comprend mal pourquoi ils vous en veulent.

JBC: Il faut le leur demander. Je vous avoue que moi-meme, je ne suis pas
  parvenu a avoir de reponse, ce qui est un peu inquietant.

RM: J'ai vu aussi que France Telecom avait une attitude ambigue envers vous.
  Tantot ils vous font des proces, tantot ils vous invitent dans des
  colloques...

JBC: C'est vous-meme qui le dites. Il est vrai que plus l'organisme est
  grand, plus une partie ignore ce que fait l'autre. C'est "tentaculesque"...
  Ca s'appelle la loi de la reticularite. Nous, on essaie de respecter une
  autre loi, celle de l'ethique. On essaie de  reevaluer, ce qui veut dire
  qu'on essaie de trouver, dans le meilleur des cas, la meilleure des
  solutions. C'est etre intelligent dans une situation chaotique.

------------------------------

End of Chaos Digest #1.73
************************************
