Tout commence le 24 octobre
2000. Secusys, un site spécialisé dans la sécurité, fait paraître un
article signé de
Roland
Garcia, puis un second derrière: «
La mini épidémie de virus I-Worm.MTX
arrivant par courrier sous forme de texte
est due principalement (exclusivement?) à l’antivirus Tegam
Viguard [...] Viguard
s’avère être
facile à infecter avec d’autres virus très courants ». Le
26 octobre, un certain « Roland G. » déclare la même
chose, dans un forum de
Zdnet,
ajoutant «
ce ne sont pas des
suppositions gratuites
mais le résultat de tests que j’ai effectués [...]
Je leur ai signalé mes tests et ils ne les
contestent pas ». Eh si! Secusys est poursuivie par Tegam
pour concurrence déloyale. En effet, la société est partenaire des
antivirus Panda, Sophos (distribué par
Alphasys
en France)
et Kaspersky
(annonce « Secubar » du 30 octobre). Pour anecdote, le
24 octobre toujours, Roland Garcia est cité, en tant qu’expert
antivirus de Secusys, sur
Viruslist.com,
un site de Kaspersky.
Devant huissier, Tegam montre que son logiciel fétiche arrête bel et
bien
MTX. M. Garcia, qui nie
toute implication dans cette affaire, ne cherche pas à prouver à la
justice ses affirmations. Qui croire?
Virus
ayant pour habitude de dénoncer les scandales pour défendre les
consommateurs, je me dis que je tiens là un excellent sujet d’article,
avec un penchant pour la version de M. Garcia. Mais je me dois de faire
les indispensables vérifications d’usage dans notre métier. Car, bien
qu’il se présente comme expert antivirus, je ne trouve aucune référence
sur lui et ne peut donc le croire sur parole. Je lui demande son
protocole détaillé, c’est-à-dire avec les versions des logiciels à
utiliser, afin de parvenir au même résultat que lui dans les mêmes
conditions. Une démarche tout ce qu’il y a de plus scientifique. La
réponse est surprenante… il m’accuse de travailler pour Tegam! Pourquoi
une telle réaction paranoïaque et agressive s’il dit vrai?
Un
protocole tenu secret
Faute de coopération de sa part, nous avons tenté de démêler
l’écheveau nous-mêmes. En fait, première surprise: il n’aurait effectué
ses propres tests que quelques jours après avoir écrit son article! En
effet, il a déclaré avoir acheté le 28 octobre un exemplaire de
Viguard à la Fnac, avec lequel
il affirme avoir reproduit sans problème
l'infection. Deuxième surprise: il semble que son exemplaire du
logiciel n'est qu'une version 8+, censée avoir été retirée de la vente
depuis plusieurs semaines avec l'annonce et la disponibilité effective
de la version 9 au début du mois d'octobre 2000. Mais le magasin n'est
pas seul en cause: M. Garcia assure ne pas avoir été au courant de la
disponibilité d'une nouvelle version de
Viguard, alors que plusieurs
magazines s'étaient fait l'écho de la nouvelle dans les
semaines
précédentes: un comble pour quelqu'un qui se dit expert en matière
d'antivirus! En outre, il ne s'est pas enregistré auprès de l'éditeur,
seul moyen pour avoir accès, gratuitement, aux nouvelles versions
pendant un an. Et s’il avait contacté l’éditeur pour lui signaler le
problème avant d’écrire son article - conformément aux règles en usage
- nul doute que l’éditeur l’aurait informé que la version 8+ était
périmée. Donc, quand Roland Garcia déclare que
Viguard (
8+) n'arrête
pas
MTX, il a raison. Et
quand la société Tegam déclare que
Viguard
(
9)
arrête
MTX, elle a également
raison.
Ce n’est pas fini! Car si le 29 octobre, Gérémy Benkirane,
responsable de Secusys, déclare: «
selon une expérimentation
rigoureuse effectuée sur un antivirus Tegam Viguard
, acheté aujourd’hui
même, il est apparu que l’antivirus s’est laissé infecter par le virus
I-Worm.MTX » (
Viguard périmé,
par déduction), il ajoute:
«
Nous n’avons pas réussi à
recréer l’envoi du fichier texte
représentant le virus corrompu constaté sur le terrain ».
Plus
tard, il sera établi que c’est une version boguée d’
Outlook qui était
la cause du curieux comportement, y compris donc avec d’autres
antivirus non à jour! Sans surprise, Secusys se voit interdire en
référé
la publication de l’article incriminé pendant 40 jours afin de
parer à l’urgence. Il n’y aura aucun appel, ni jugement sur le
fond. Je crois l’affaire terminée, et que ce « fait
divers » ne mérite pas d’article dans
Virus. Je me trompais:
l’affaire n’était en rien terminée.
Acte
2
Mars 2001, Alain Godet, journaliste permanent
chez
Distributique et
occasionnel au
Virus,
explique dans le forum
Usenet fr.comp.securite.virus (FCSV) qu’il est satisfait de
Viguard
qu’il utilise depuis des années. Il demande à M. Garcia les noms des
virus qui sont passés au travers lors de ses expériences. Les réponses
seront du genre: «
Godet dégagez
vous êtes un escroc, et votre
antivirus avec! ». M. Garcia contacte la direction de
Distributique afin d’y
dénoncer A. Godet. Il prend également
l’initiative de faire suivre des échanges privés à des prétendus
fonctionnaires de la « sécurité du territoire ». Nous ne
savons pas pourquoi, ni si l’intégrité des propos est respectée.
On
constate qu’un de ses premiers messages publics est mis
en copie à M.
Mannig, qu’il appelle son « collègue ». En fait, une personne
liée à Eur’net, un autre distributeur de Kaspersky en France.
Bien que je ne participe pas aux échanges, le 6 avril 2001, M.
Garcia commence à s’en prendre au magazine et à moi publiquement:
«
Quant à la presse parlons en
puisqu’Olivier Aichelbaum m'avait
contacté pour la fameuse affaire du virus MTX
qui bien évidemment a
fait l'objet rapidement d'un patch du même genre. Aucune mention de ce
problème incontestable n'a été faite ensuite dans votre groupe de
presse, dont Le virus informatique. 01 Réseaux
me paraît beaucoup plus
crédible. » Le monsieur refuse visiblement de comprendre
que,
contrairement à d’autres, notre déontologie nous interdit de reprendre
ses dires s’il refuse d’en donner les preuves.
La
conférence
M. Godet se propose de faire un article afin de tirer l’affaire au
clair. D’autres personnes s’invitent au débat, donc un certain
Guillermito, qui critique l’article avant même qu’il ne soit paru:
«
c'est dans le Virus
Informatique
, qui n'est pas vraiment
connu
pour le sérieux et la profondeur technique de ses articles. D'ailleurs,
c'est amusant, ca. À chaque fois que je rencontre un journaliste qui
défend Tegam bec et ongles, il publie dans le Virus Info.
Olivier
Aichelbaum était d'ailleurs invite à une conférence anti-virus il y a
quelques années, organisée par Tegam. »
Je me souviens alors de cette conférence et de ce personnage, Guillaume
(il m’avait marqué et je vous expliquerai dans un instant la raison).
Mais je ne comprends pas pourquoi il s’en prend ainsi de façon
mensongère au magazine et à son équipe. En effet, il n’en a
« rencontré » que deux personnes: Alain, sur le forum, et
moi-même, en « vrai ». Or Alain est le seul utilisateur de
Viguard de la rédaction (la
plupart utilisent des systèmes alternatifs
à
Windows). Pour ma part, je
n’ai jamais exprimé d’avis sur ce
logiciel, et le test paru dans
Virus
était plutôt mitigé. Contrairement
aux sous-entendus de Guillaume Tena, c’était la première fois que
j’avais un contact avec les gens de Tegam et ce n’est pas eux que je
suis allé voir à cette conférence, mais des intervenants comme Mark
Ludwig (un expert international), un membre de la D.S.T. (Ministère de
l’Intérieur), etc. Journaliste, c’est mon travail d’assister à des
conférences pour rapporter à mes lecteurs ce qu’ils n’ont pas pu
entendre eux-mêmes, s’il s’y dit des choses intéressantes. J’ai donc
assisté à un tas de conférences, de sociétés diverses. Par contre, M.
Tena, c’était la première, et dernière, fois que je l’ai croisé.
Pourquoi était-il là, spécifiquement? Il m’avait marqué car il faisait
vraiment « tache dans le décor », au milieu de tous ces
professionnels de la sécurité informatique. Étudiant en biologie, il
m’explique qu’il programmait en assembleur sur Commodore 64. En
insistant un peu pour connaître la raison de sa présence, il se
justifie par le parallèle entre virus biologiques et informatiques. Il
finit par reconnaître qu’il développe des « codes
reproductifs » – comprendre des « virus » même s’il
refuse de prononcer le mot. Il ajoute qu’il ne diffuse rien. Ses
travaux, des expérimentations scientifiques, n’ont donc rien d’illégal.
Une
journaliste qui dérange
Plus tard, il m’expliquera publiquement qu’il était là sur invitation
de Danielle Kaminsky, organisatrice de cette conférence. Car il lui
aurait fourni matière et contacts pour une
étude
explosive (
Auteurs de
virus, Éditeurs d’antivirus: les liaisons dangereuses), publiée
en 1998
à l’initiative du
Clusif
(club regroupant les responsables de la
sécurité informatique de plusieurs sociétés et administrations). M.
Tena se targue, en effet, de connaître «
la plupart des auteurs de
virus de la planète ». Mais, en assemblant les différentes
pièces
du puzzle, j’ai le sentiment – comme
d’autres
sur Internet – qu’il est
lui-même l’un d’eux: Spanska. À la même époque, je
tenterai
d’interviewer Spanska directement mais, finalement, ce dernier refusera
et je n’aurai donc confirmation de sa vraie identité.
Pour ma part, cette conférence est aussi mon premier contact avec
Danielle Kaminsky. Journaliste d’investigation et réalisatrice TV, elle
a mené des enquêtes, par exemple, sur la prostitution des mineurs,
l’argent sale des partis politiques ou les armes acoustiques. Elle a
travaillé pour l’Agence France Presse,
Libération,
Les Dossiers du
Canard Enchaîné et d’autres. Malgré son
CV
impressionnant, elle
ne sera
pas intégrée au personnel du
Virus.
Mais elle profitera de la
possibilité donnée, depuis le premier numéro,
à tous nos
lecteurs
d’envoyer des textes pour une éventuelle publication. C’est ainsi que
vous avez pu lire ses articles sur les
femmes
pirates ou les
profilers.
De nombreux lecteurs feront pareil, certains liés à Microsoft, des
éditeurs antivirus, des administrations et ministères, etc. Sans que
jamais le magazine ne soit accusé d’être à la solde de telle ou telle
structure. Bien au contraire! C’est d’ailleurs pour cela - grâce à cela
- que
Virus a trouvé son
public et existe.
Calomniez,
calomniez, il en restera
toujours quelque chose !
Mais la signature Kaminsky, elle, dérange certains qui y voient, de
façon paranoïaque, un complot, et leur haine contre Tegam et/ou D.
Kaminsky se reporte donc contre votre magazine et ses salariés. MM.
Garcia et Tena sont bientôt assistés d’autres internautes, généralement
cachés derrière des pseudonymes, et qui les aident à propager des
calomnies de plus en plus grosses: «
Mais comme chez abcm on
touche du fric de tegam, on est donc salarié, et donc on n'a pas le
droit de dire du mal de la concurrence non plus ». Les
calomnies
dérapent aussi, entre autre, sur la religion, du «
sont p'tet
voisins de tapis à la mosquée » prétendu humoristique au
«
Juste par solidarité envers
son concepteur qui est de même
confession, il va te sortir un pseudo AV qui détecte tous les virus
présents et à venir sans mise à jour ;-( Il n'arrive pas à dissocier la
religion ou l'origine d'une personne d'un logiciel ». Mais
c’est
pourtant moi qui suis accusé de racisme «
contre tout ce qui est
russe » et «
des
pays de l’Est ». Tous les coups sont
permis, ils estiment, pour semer le doute sur ACBM: «
Faut-il un
antivirus pour lire Pirates Magazine
? C'est la question que je me pose
après avoir découvert 5 exécutables à télécharger sur:
http://www.acbm.com/[...]
Sachant
que le patron de ce magazine
conseille de ne surtout pas utiliser d'antivirus tout ceci me parait
louche. [...]
J'ai vaguement
regardé à l'intérieur: "Attempt to free an
EEPROM block twice in Terminal program", Ca va me flasher le BIOS deux
fois ce truc!!!! Dans un autre: "DexEXE v2.1 by Kaljevic Dejan", ça
fait trojan des pays de l'est!!!! Bref même fff et son attirail de
sécurité à base de IE6.0 ne s'y risquerait pas. ». Je suis
accusé
par la petite bande de «
recel
de contrefaçon », d’avoir
«
utilisé un décodeur pirate
Canal Plus », de propager des
fausses informations (fait susceptible d’être un délit), etc. Mon
statut de journaliste et mon indépendance sont constamment mis en
doute. Sans oublier les «
Ordure »,
«
Con »,
«
Incompétent »,
«
Cas [...]
pathologique »,
j’en passe et des meilleures.
D’autres
professionnels antivirus?
C’est bien connu en psychologie sociale: lorsque plusieurs personnes
s’acharnent sur une seule, il est fréquent que des témoins s’y mettent
à leur tour. Par exemple, combien ont le courage de défendre une
personne isolée face à un groupe de cinq? C’est ainsi que des
internautes, qui n’ont aucun lien avec le milieu antivirus, sont
intervenus à leur tour dans le conflit, manipulés par des
professionnels sans scrupule. L’exemple « Marc Henry » en
témoigne. Cette personne qui a participé au harcèlement se disait
indépendante et nouvelle dans le forum. Mais en analysant l’entête de
ses messages, on tombait sur l’ordinateur d’adresse IP fixe
80.15.252.184. Or, quelques jours plus tôt, un certain Fred, d’adresse
e-mail mlcerq@rherarg.arg, avait posté dans le forum de test depuis la
même
machine.
En effectuant un décodage dit
ROT13
sur l’e-mail, on
obtient zypred@ eurenet.net. Le même Eur’net, revendeur Kaspersky, dont
nous avons parlé plus haut! Le domaine
zypred.com
existe, il est au nom
d’un certain Frédéric Mense et son adresse postale est celle d’Eur’net.
Les actuels gérants de la société portent d’ailleurs le même nom de
famille. Par hasard, un magazine concurrent nous explique qu’il vient
de convenir un partenariat avec cette société, et que F. Mense est son
interlocuteur! Notons que la personne participait déjà aussi, sous
zypred@ eurenet.net, aux attaques. L’utilisation de pseudonymes
supplémentaires, comme « Marc Henry », permet simplement de
faire croire que tout le monde est du même avis et de manipuler
l’opinion publique. Nous décidons d’appeler Eur’net pour parler avec un
responsable. Nous tombons directement sur une personne qui se présente
comme Frédéric Mense. Surprise: il déclare être étranger aux messages
postés sur Usenet. Vous y croyez, vous?
Combien d’autres professionnels antivirus ont agit de la sorte? Combien
de diffuseurs de virus? Notons qu’outre leurs pseudonymes, plusieurs
intervenants usent et abusent du réglage XNAY en postant, ce qui leur
permet de calomnier et causer du tort sur le coup, mais sans laisser de
trace à terme dans les archives de certains serveurs comme Google.
Une
véritable guerre économique
Virus n’est pas le seul média
victime de telles attaques. M. Tena
déclare: «
Je sais par
expérience que Tegam a quelques
journalistes à sa botte. J'ai vu ce que ca donnait, devant mes yeux,
avec Libération, Le Monde
et
TF1. [...]
Maintenant, c'est
le
Figaro. » Au tableau de chasse, on trouve aussi, par exemple,
Zdnet ou
Chasseur d’images. Ainsi,
concernant un article de ce dernier
qu’ils critiquent, sans savoir ce qu’il contient faute de l’avoir lu,
M. Tena lance un «
Encore des
journalistes incompétents. Perrun
n'infecte pas les JPG ».
Et, sans surprise, M. Garcia ajoute
derrière, de concert «
Où
comment les journalistes entretiennent
les légendes urbaines, des virus dans les images ». Faux,
bien
entendu, mais parfaite démonstration de la façon dont opèrent les deux
pour se mettre en avant, sur le dos de victimes qu’ils se choisissent.
Les messages Usenet ne sont pas centralisés sur une seule machine, ils
sont copiés sur des centaines et centaines de milliers d’ordinateurs à
travers la planète (il est impossible de connaître le nombre exact),
sans possibilité d’effacement total. La campagne de calomnies s’est
aussi déroulée sur d’autres forums afin de faire le maximum de dégâts,
mais également auprès d’autres personnes en privé dans notre dos,
devant
les tribunaux, etc. En se présentant respectivement comme
consultant à la direction du CNRS et chercheur en biologie à
l'Université de Harvard, MM. Garcia et Tena jouissent d’une crédibilité
certaine. Et avec des inconnus sortis d’on ne sait où qui viennent
appuyer leurs calomnies, 24 heures sur 24, ce n’est pas étonnant
si des lecteurs ont fini par y croire. Une telle campagne contre TF1
n’aurait sans doute que peu de conséquences, mais
Virus est une toute
petite structure indépendante avec peu de moyens. Devant l’hémorragie
des lecteurs, il a fallu réagir et démentir les accusations
continuelles. Malheureusement, le temps perdu ainsi n’a pu être
consacré au contenu du magazine, la qualité en a souffert, et d’autres
lecteurs plus confiants nous ont quittés à leur tour. Sans compter les
appels au boycott en parallèle. Au final,
Virus est passé de presque
80 000 exemplaires vendus à 30 000 exemplaires environ (merci à ces 30
000
fidèles!). La situation devient critique. D’où la diminution de la
qualité du papier de ce numéro. Et, cette économie étant insuffisante,
je suis dans l’obligation d’abandonner mon poste de rédacteur en chef.
Tout cela car nous aurons voulu conserver notre indépendance et refusé
de devenir complices des manœuvres douteuses d’auteurs de virus et de
professionnels antivirus.
Les
encadrés :
Le
second référé
Toutes
les pistes mènent à Kaspersky
Dernière
minute : Tegam aussi !
Mise
en examen
La
clef de l'histoire ?
Anecdote : par un curieux hasard, la couverture du magazine annonçant
cet article est apparue dans le premier épisode de la quatrième saison
de la série télévisée
Smallville
(consacrée à la jeunesse de Superman), pourtant tournée en Amérique du
Nord.