Article paru dans Le Virus Informatique 26 (Juin 2004)

Auteur-diffuseur de virus et professionnels antivirus, contre votre magazine !


Comme si nos problèmes avec la Commission paritaire ne suffisaient pas, quelques personnes mènent depuis trois ans une véritable guerre économique afin de couler votre petit magazine : calomnies et dénigrement à grande échelle, appels au boycott, etc. Une histoire édifiante qui vous expliquera les liens qui peuvent exister entre professionnels antivirus et auteurs-diffuseurs de virus.
Olivier Aichelbaum

Tout commence le 24 octobre 2000. Secusys, un site spécialisé dans la sécurité, fait paraître un article signé de Roland Garcia, puis un second derrière: « La mini épidémie de virus I-Worm.MTX arrivant par courrier sous forme de texte est due principalement (exclusivement?) à l’antivirus Tegam Viguard [...] Viguard s’avère être facile à infecter avec d’autres virus très courants ». Le 26 octobre, un certain « Roland G. » déclare la même chose, dans un forum de Zdnet, ajoutant « ce ne sont pas des suppositions gratuites mais le résultat de tests que j’ai effectués [...] Je leur ai signalé mes tests et ils ne les contestent pas ». Eh si! Secusys est poursuivie par Tegam pour concurrence déloyale. En effet, la société est partenaire des antivirus Panda, Sophos (distribué par Alphasys en France) et Kaspersky (annonce « Secubar » du 30 octobre). Pour anecdote, le 24 octobre toujours, Roland Garcia est cité, en tant qu’expert antivirus de Secusys, sur Viruslist.com, un site de Kaspersky.
Devant huissier, Tegam montre que son logiciel fétiche arrête bel et bien MTX. M. Garcia, qui nie toute implication dans cette affaire, ne cherche pas à prouver à la justice ses affirmations. Qui croire? Virus ayant pour habitude de dénoncer les scandales pour défendre les consommateurs, je me dis que je tiens là un excellent sujet d’article, avec un penchant pour la version de M. Garcia. Mais je me dois de faire les indispensables vérifications d’usage dans notre métier. Car, bien qu’il se présente comme expert antivirus, je ne trouve aucune référence sur lui et ne peut donc le croire sur parole. Je lui demande son protocole détaillé, c’est-à-dire avec les versions des logiciels à utiliser, afin de parvenir au même résultat que lui dans les mêmes conditions. Une démarche tout ce qu’il y a de plus scientifique. La réponse est surprenante… il m’accuse de travailler pour Tegam! Pourquoi une telle réaction ­paranoïaque et agressive s’il dit vrai?

Un protocole tenu secret

Faute de coopération de sa part, nous avons tenté de démêler l’écheveau nous-mêmes. En fait, première surprise: il n’aurait effectué ses propres tests que quelques jours après avoir écrit son article! En effet, il a déclaré avoir acheté le 28 octobre un exemplaire de Viguard à la Fnac, avec lequel il affirme avoir reproduit sans problème l'infection. Deuxième surprise: il semble que son exemplaire du logiciel n'est qu'une version 8+, censée avoir été retirée de la vente depuis plusieurs semaines avec l'annonce et la disponibilité effective de la version 9 au début du mois d'octobre 2000. Mais le magasin n'est pas seul en cause: M. Garcia assure ne pas avoir été au courant de la disponibilité d'une nouvelle version de Viguard, alors que plusieurs magazines s'étaient fait l'écho de la nouvelle dans les semaines précédentes: un comble pour quelqu'un qui se dit expert en matière d'antivirus! En outre, il ne s'est pas enregistré auprès de l'éditeur, seul moyen pour avoir accès, gratuitement, aux nouvelles versions pendant un an. Et s’il avait contacté l’éditeur pour lui signaler le problème avant d’écrire son article - conformément aux règles en usage - nul doute que l’éditeur l’aurait informé que la version 8+ était périmée. Donc, quand Roland Garcia déclare que Viguard (8+) n'arrête pas MTX, il a raison. Et quand la société Tegam déclare que Viguard (9) arrête MTX, elle a également raison.
Ce n’est pas fini! Car si le 29 octobre, Gérémy Benkirane, responsable de Secusys, déclare: « selon une expérimentation rigoureuse effectuée sur un antivirus Tegam Viguard, acheté aujourd’hui même, il est apparu que l’antivirus s’est laissé infecter par le virus I-Worm.MTX » (Viguard périmé, par déduction), il ajoute: « Nous n’avons pas réussi à recréer l’envoi du fichier texte représentant le virus corrompu constaté sur le terrain ». Plus tard, il sera établi que c’est une version boguée d’Outlook qui était la cause du curieux comportement, y compris donc avec d’autres antivirus non à jour! Sans surprise, Secusys se voit interdire en référé la publication de l’article incriminé pendant 40 jours afin de parer à l’urgence. Il n’y aura aucun appel, ni jugement sur le fond. Je crois l’affaire terminée, et que ce « fait divers » ne mérite pas d’article dans Virus. Je me trompais: l’affaire n’était en rien terminée.

Acte 2

Mars 2001, Alain Godet, journaliste permanent chez Distributique et occasionnel au Virus, explique dans le forum Usenet fr.comp.securite.virus (FCSV) qu’il est satisfait de Viguard qu’il utilise depuis des années. Il demande à M. Garcia les noms des virus qui sont passés au travers lors de ses expériences. Les réponses seront du genre: « Godet dégagez vous êtes un escroc, et votre antivirus avec! ». M. Garcia contacte la direction de Distributique afin d’y dénoncer A. Godet. Il prend également l’initiative de faire suivre des échanges privés à des prétendus fonctionnaires de la « sécurité du territoire ». Nous ne savons pas pourquoi, ni si l’intégrité des propos est respectée. On constate qu’un de ses premiers messages publics est mis en copie à M. Mannig, qu’il appelle son « collègue ». En fait, une personne liée à Eur’net, un autre distributeur de Kaspersky en France.
Bien que je ne participe pas aux échanges, le 6 avril 2001, M. Garcia commence à s’en prendre au magazine et à moi publiquement: « Quant à la presse parlons en puisqu’Olivier Aichelbaum m'avait contacté pour la fameuse affaire du virus MTX qui bien évidemment a fait l'objet rapidement d'un patch du même genre. Aucune mention de ce problème incontestable n'a été faite ensuite dans votre groupe de presse, dont Le virus informatique. 01 Réseaux me paraît beaucoup plus crédible. » Le monsieur refuse visiblement de comprendre que, contrairement à d’autres, notre déontologie nous interdit de reprendre ses dires s’il refuse d’en donner les preuves.

La conférence

M. Godet se propose de faire un article afin de tirer l’affaire au clair. D’autres personnes s’invitent au débat, donc un certain Guillermito, qui critique l’article avant même qu’il ne soit paru: « c'est dans le Virus Informatique, qui n'est pas vraiment connu pour le sérieux et la profondeur technique de ses articles. D'ailleurs, c'est amusant, ca. À chaque fois que je rencontre un journaliste qui défend Tegam bec et ongles, il publie dans le Virus Info. Olivier Aichelbaum était d'ailleurs invite à une conférence anti-virus il y a quelques années, organisée par Tegam. »
Je me souviens alors de cette conférence et de ce personnage, Guillaume (il m’avait marqué et je vous expliquerai dans un instant la raison). Mais je ne comprends pas pourquoi il s’en prend ainsi de façon mensongère au magazine et à son équipe. En effet, il n’en a « rencontré » que deux personnes: Alain, sur le forum, et moi-même, en « vrai ». Or Alain est le seul utilisateur de Viguard de la rédaction (la plupart utilisent des systèmes alternatifs à Windows). Pour ma part, je n’ai jamais exprimé d’avis sur ce logiciel, et le test paru dans Virus était plutôt mitigé. Contrairement aux sous-entendus de Guillaume Tena, c’était la première fois que j’avais un contact avec les gens de Tegam et ce n’est pas eux que je suis allé voir à cette conférence, mais des intervenants comme Mark Ludwig (un expert international), un membre de la D.S.T. (Ministère de l’Intérieur), etc. Journaliste, c’est mon travail d’assister à des conférences pour rapporter à mes lecteurs ce qu’ils n’ont pas pu entendre eux-mêmes, s’il s’y dit des choses intéressantes. J’ai donc assisté à un tas de conférences, de sociétés diverses. Par contre, M. Tena, c’était la première, et dernière, fois que je l’ai croisé. Pourquoi était-il là, spécifiquement? Il m’avait marqué car il faisait vraiment « tache dans le décor », au milieu de tous ces professionnels de la sécurité informatique. Étudiant en biologie, il m’explique qu’il programmait en assembleur sur Commodore 64. En insistant un peu pour connaître la raison de sa présence, il se justifie par le parallèle entre virus biologiques et informatiques. Il finit par reconnaître qu’il développe des « codes reproductifs » – comprendre des « virus » même s’il refuse de prononcer le mot. Il ajoute qu’il ne diffuse rien. Ses travaux, des expérimentations scientifiques, n’ont donc rien d’illégal.

Une journaliste qui dérange

Plus tard, il m’expliquera publiquement qu’il était là sur invitation de Danielle Kaminsky, organisatrice de cette conférence. Car il lui aurait fourni matière et contacts pour une étude explosive (Auteurs de virus, Éditeurs d’antivirus: les liaisons dangereuses), publiée en 1998 à l’initiative du Clusif (club regroupant les responsables de la sécurité informatique de plusieurs sociétés et administrations). M. Tena se targue, en effet, de connaître « la plupart des auteurs de virus de la planète ». Mais, en assemblant les différentes pièces du puzzle, j’ai le sentiment – comme d’autres sur Internet – qu’il est lui-même l’un d’eux: Spanska. À la même époque, je tenterai d’interviewer Spanska directement mais, finalement, ce dernier refusera et je n’aurai donc confirmation de sa vraie identité.
Pour ma part, cette conférence est aussi mon premier contact avec Danielle Kaminsky. Journaliste d’investigation et réalisatrice TV, elle a mené des enquêtes, par exemple, sur la prostitution des mineurs, l’argent sale des partis politiques ou les armes acoustiques. Elle a travaillé pour l’Agence France Presse, Libération, Les Dossiers du Canard Enchaîné et d’autres. Malgré son CV impressionnant, elle ne sera pas intégrée au personnel du Virus. Mais elle profitera de la possibilité donnée, depuis le premier numéro, à tous nos lecteurs d’envoyer des textes pour une éventuelle publication. C’est ainsi que vous avez pu lire ses articles sur les femmes pirates ou les profilers. De nombreux lecteurs feront pareil, certains liés à Microsoft, des éditeurs antivirus, des administrations et ministères, etc. Sans que jamais le magazine ne soit accusé d’être à la solde de telle ou telle structure. Bien au contraire! C’est d’ailleurs pour cela - grâce à cela - que Virus a trouvé son public et existe.

Calomniez, calomniez, il en restera toujours quelque chose !

Mais la signature Kaminsky, elle, dérange certains qui y voient, de façon paranoïaque, un complot, et leur haine contre Tegam et/ou D. Kaminsky se reporte donc contre votre magazine et ses salariés. MM. Garcia et Tena sont bientôt assistés d’autres internautes, généralement cachés derrière des pseudonymes, et qui les aident à propager des calomnies de plus en plus grosses: « Mais comme chez abcm on touche du fric de tegam, on est donc salarié, et donc on n'a pas le droit de dire du mal de la concurrence non plus ». Les calomnies dérapent aussi, entre autre, sur la religion, du « sont p'tet voisins de tapis à la mosquée » prétendu humoristique au « Juste par solidarité envers son concepteur qui est de même confession, il va te sortir un pseudo AV qui détecte tous les virus présents et à venir sans mise à jour ;-( Il n'arrive pas à dissocier la religion ou l'origine d'une personne d'un logiciel ». Mais c’est pourtant moi qui suis accusé de racisme « contre tout ce qui est russe » et « des pays de l’Est ». Tous les coups sont permis, ils estiment, pour semer le doute sur ACBM: « Faut-il un antivirus pour lire Pirates Magazine? C'est la question que je me pose après avoir découvert 5 exécutables à télécharger sur: http://www.acbm.com/[...] Sachant que le patron de ce magazine conseille de ne surtout pas utiliser d'antivirus tout ceci me parait louche. [...] J'ai vaguement regardé à l'intérieur: "Attempt to free an EEPROM block twice in Terminal program", Ca va me flasher le BIOS deux fois ce truc!!!! Dans un autre: "DexEXE v2.1 by Kaljevic Dejan", ça fait trojan des pays de l'est!!!! Bref même fff et son attirail de sécurité à base de IE6.0 ne s'y risquerait pas. ». Je suis accusé par la petite bande de « recel de contrefaçon », d’avoir « utilisé un décodeur pirate Canal Plus », de propager des fausses informations (fait susceptible d’être un délit), etc. Mon statut de journaliste et mon indépendance sont constamment mis en doute. Sans oublier les « Ordure », « Con », « Incompétent », « Cas [...] pathologique », j’en passe et des meilleures.

D’autres professionnels antivirus?

C’est bien connu en psychologie sociale: lorsque plusieurs personnes s’acharnent sur une seule, il est fréquent que des témoins s’y mettent à leur tour. Par exemple, combien ont le courage de défendre une personne isolée face à un groupe de cinq? C’est ainsi que des internautes, qui n’ont aucun lien avec le milieu antivirus, sont intervenus à leur tour dans le conflit, manipulés par des professionnels sans scrupule. L’exemple « Marc Henry » en témoigne. Cette personne qui a participé au harcèlement se disait indépendante et nouvelle dans le forum. Mais en analysant l’entête de ses messages, on tombait sur l’ordinateur d’adresse IP fixe 80.15.252.184. Or, quelques jours plus tôt, un certain Fred, d’adresse e-mail mlcerq@rherarg.arg, avait posté dans le forum de test depuis la même machine. En effectuant un décodage dit ROT13 sur l’e-mail, on obtient zypred@ eurenet.net. Le même Eur’net, revendeur Kaspersky, dont nous avons parlé plus haut! Le domaine zypred.com existe, il est au nom d’un certain Frédéric Mense et son adresse postale est celle d’Eur’net. Les actuels gérants de la société portent d’ailleurs le même nom de famille. Par hasard, un magazine concurrent nous explique qu’il vient de convenir un partenariat avec cette société, et que F. Mense est son interlocuteur! Notons que la personne participait déjà aussi, sous zypred@ eurenet.net, aux attaques. L’utilisation de pseudonymes supplémentaires, comme « Marc Henry », permet simplement de faire croire que tout le monde est du même avis et de manipuler l’opinion publique. Nous décidons d’appeler Eur’net pour parler avec un responsable. Nous tombons directement sur une personne qui se présente comme Frédéric Mense. Surprise: il déclare être étranger aux messages postés sur Usenet. Vous y croyez, vous?
Combien d’autres professionnels antivirus ont agit de la sorte? Combien de diffuseurs de virus? Notons qu’outre leurs pseudonymes, plusieurs intervenants usent et abusent du réglage XNAY en postant, ce qui leur permet de calomnier et causer du tort sur le coup, mais sans laisser de trace à terme dans les archives de certains serveurs comme Google.

Une véritable guerre économique

Virus n’est pas le seul média victime de telles attaques. M. Tena déclare: « Je sais par expérience que Tegam a quelques journalistes à sa botte. J'ai vu ce que ca donnait, devant mes yeux, avec Libération, Le Monde et TF1. [...] Maintenant, c'est le Figaro. » Au tableau de chasse, on trouve aussi, par exemple, Zdnet ou Chasseur d’images. Ainsi, concernant un article de ce dernier qu’ils critiquent, sans savoir ce qu’il contient faute de l’avoir lu, M. Tena lance un « Encore des journalistes incompétents. Perrun n'infecte pas les JPG ». Et, sans surprise, M. Garcia ajoute derrière, de concert « Où comment les journalistes entretiennent les légendes urbaines, des virus dans les images ». Faux, bien entendu, mais parfaite démonstration de la façon dont opèrent les deux pour se mettre en avant, sur le dos de victimes qu’ils se choisissent.
Les messages Usenet ne sont pas centralisés sur une seule machine, ils sont copiés sur des centaines et centaines de milliers d’ordinateurs à travers la planète (il est impossible de connaître le nombre exact), sans possibilité d’effacement total. La campagne de calomnies s’est aussi déroulée sur d’autres forums afin de faire le maximum de dégâts, mais également auprès d’autres personnes en privé dans notre dos, devant les tribunaux, etc. En se présentant respectivement comme consultant à la direction du CNRS et chercheur en biologie à l'Université de Harvard, MM. Garcia et Tena jouissent d’une crédibilité certaine. Et avec des inconnus sortis d’on ne sait où qui viennent appuyer leurs calomnies, 24 heures sur 24, ce n’est pas étonnant si des lecteurs ont fini par y croire. Une telle campagne contre TF1 n’aurait sans doute que peu de conséquences, mais Virus est une toute petite structure indépendante avec peu de moyens. Devant l’hémorragie des lecteurs, il a fallu réagir et démentir les accusations continuelles. Malheureusement, le temps perdu ainsi n’a pu être consacré au contenu du magazine, la qualité en a souffert, et d’autres lecteurs plus confiants nous ont quittés à leur tour. Sans compter les appels au boycott en parallèle. Au final, Virus est passé de presque 80 000 exemplaires vendus à 30 000 exemplaires environ (merci à ces 30 000 fidèles!). La situation devient critique. D’où la diminution de la qualité du papier de ce numéro. Et, cette économie étant insuffisante, je suis dans l’obligation d’abandonner mon poste de rédacteur en chef. Tout cela car nous aurons voulu conserver notre indépendance et refusé de devenir complices des man½uvres douteuses d’auteurs de virus et de professionnels antivirus.

Les encadrés :

Le second référé
Toutes les pistes mènent à Kaspersky
Dernière minute : Tegam aussi !
Mise en examen
La clef de l'histoire ?

Anecdote : par un curieux hasard, la couverture du magazine annonçant cet article est apparue dans le premier épisode de la quatrième saison de la série télévisée Smallville (consacrée à la jeunesse de Superman), pourtant tournée en Amérique du Nord.