Guillermito n’a rien d’un pirate informatique. A 34 ans, il est chercheur en biologie moléculaire végétale dans la prestigieuse université de Harvard et est également passionné d’informatique. Avec une démarche technique et quasi scientifique il étudie pour passer le temps la solution française d’antivirus sans mise à jour : Viguard.
Très vite, Guillermito découvre un certain nombre de défauts de conception qui permettraient à une personne mal intentionnée de déjouer les protections de Viguard. Il informe alors en juillet 2001 la société Tegam de ses trouvailles puis publie en mars 2002 sur son site Internet les « proof of concept », petits programmes informatiques permettant de mettre en évidence la présence des vulnérabilités. Cette histoire aurait pu en rester là. Une faille découverte, annoncée à l’éditeur puis corrigée. Rien d’exceptionnel, si ce n’est que ces trouvailles ne sont pas du goût de la société Tegam. Elle a décidé de poursuivre en justice Guillermito: le jeune scientifique se retrouve aujourd’hui mis en examen. Voilà donc un fait plutôt troublant d’autant plus que ce scénario se produit des dizaines de fois tous les jours. En effet, depuis de nombreuses années des chercheurs, étudiants, passionnés découvrent des failles dans des solutions commerciales ou « opensource ». En général, lorsqu’ils l’annoncent aux éditeurs, ceux-ci corrigent sans broncher leurs produits. C’est ainsi que la sécurité informatique fonctionne et c’est ainsi qu’elle va continuer à fonctionner. « Essayer de trouver des failles de manière indépendante, c’est la seule façon de garantir un certain niveau de sécurité. Ou sinon, il faut croire la publicité sans se poser de questions. », nous explique Guillermito. Au delà de cette affaire « Guillermito versus Tegam », c’est le droit de rechercher et de publier des informations techniques sur des vulnérabilités découvertes dans les logiciels commerciaux qui risque d’être remise en cause si Tegam gagne son procès. Une telle jurisprudence serait extrêmement défavorable aux chercheurs indépendants qui, au quotidien, font avancer la sécurité informatique et donc la sécurité des internautes. Aurélien Cabezon, Vulnerabilite.com
Une mise à jour de l'EDR Crowdstrike Falcon a planté une multitude de serveurs et…
Un modèle GPT-4o mini rejoint le catalogue d'OpenAI. De la conception à l'évaluation, il a…
La Cour des comptes appelle à formaliser et à professionnaliser certains aspects du RIE, tout…
La Cour des comptes attire l'attention sur le risque d'affaiblissement d'Etalab, privé, ces dernières années,…
Missions historiques de la Dinum, l'ouverture des données publiques et la promotion des logiciels libres…
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…