L’affaire
CheckSpy
Le 4 avril 2004, un message de Serge P. est
autorisé par
un modérateur dans le newsgroup
fr.comp.securite : « voilà un
petit site comme on les aime:
http://www.checkspy.com/fr/index.htm
checkspy se
charge en effet de retrouver pour vous les petits indesirables qui vous
surveillent lorsque vous êtes connectés sur le
net. complément idéal d’un
antivirus, il s’offre même le luxe de trouver
l’introuvable espion qui continus
à envoyer vos informations personelles sur la toile. il est
possible de scanner
gratuitement votre pc !!! vous voyez ensuite, un rapport generalement
surprenant... [...] ps: il faudra pourtant
désactiver votre firewall
avant de pouvoir acceder au petit bijoux :serviteur: donnez votre avis
après
avoir essayé et n’hezitez pas a le plebiciter.... ».
Plusieurs choses
choquent les lecteurs du newsgroup. Tout
d’abord, Serge P. ne
dit pas qu’il
dirige la société Checkflow, éditrice
du fameux antispyware. Le témoignage (plein
de fautes d’orthographe) de l’utilisateur satisfait
relève en fait de la
publicité (d’ailleurs, deux autres messages du
même genre ont été bloqués
par la modération). Mais surtout le conseil donné
à la fin est une hérésie : en effet,
une machine sous Windows NT/2000/XP sans firewall
(pare-feu) peut
être contaminée dans les quelques secondes qui
suivent par des vers comme Blaster,
Sasser ou SQLSlammer !
Et si les Windows 9x/Me ne
sont pas concernés par ces menaces, ils sont
néanmoins sensibles à des attaques
contre Netbios. Pis, CheckSpy
lui-même pourrait lui-même être le
vecteur d’un adware ou d’une
attaque plus sérieuse, car il s’agit
d’un ActiveX
signé (ce qui lui donne des droits en lecture et en
écriture sur le disque dur
de l’utilisateur) et que, faute de pare-feu, il permet au
serveur distant
d’installer ce qu’il veut. Cédric
Blancher, un des modérateurs, cherche à
savoir ce qu’il en est vraiment et rassure :
« Ce logiciel
(CheckSpy), manifestement, n’a pas d’action
malicieuse sur le système ».
Analyse de
l’antispyware
Au passage, il nous livre le
résultat d’un petit test du
logiciel antispyware : « CheckSpy
me trouve 92 saloperies sur mon
disque. Maintenant si je regarde de plus près,
qu’est-ce que je trouve. Premier
spyware, le numéro d’ID du MediaPlayer. [...]
Ensuite, 91 cookies. [...]
Et en les regardant de plus près, je trouve effectivement
des cookies de pub,
classique, mais aussi des choses comme Allocine, NetStumbler, Google ou
encore
Yahoo. Bref, que d’horribles méchantes bestioles.
Par curiosité, je lance
AdAware pour comparer. Ce dernier me trouve 39 objets, dont 7
clé de registre
associées à deux spywares connus, un
répertoire avec ses 6 fichiers dedans pour
l’installation de l’un des deux. Et
évidemment 25 cookies qui euh me semble
franchement plus pertinent en terme de recherche de spyware. Et lui au
moins,
il me les nettoie. Donc en gros, il me trouve un vrai spyware installer
que
l’ActiveX n’a pas trouvé... ».
Un autre internaute, Nicolas
Grégoire derrière le pseudonyme
Nicob, cherche à comprendre pourquoi il faut
désactiver le pare-feu :
« J’ai jeté un oeil au
programme (je ne l’ai pas lancé, donc
j’ai
peut-être tout faux !) et j’ai peut-être
une explication. En fait, on
télécharge un ".cab" qui contient FlowScan.inf
(un fichier de conf)
et FlowScan.ocx (l’ActiveX). Cet ActiveX appelle des
fonctions relatives au
téléchargement de fichiers depuis
l’Internet (d’où la
nécessaire désactivation
du pare-feu ?) :
InternetReadFile,
HttpQueryInfoA, InternetOpenUrlA,
InternetOpenA. On trouve entre autres cette URL dans
l’ActiveX :
http://www.checkspy.com/kbase.xml. Si on
télécharge le fichier, on constate que
c’est en fait un fichier ZIP protégé
par mot de passe, le mot de passe étant
bien évidemment embarqué dans l’ActiveX
("xzdiablo700"). Donc, on
peut extraire le fichier XML, qui contient les infos sur les 101
spywares
connus par le logiciel ».
L’analyse est très intéressante.
Dérapage
Malheureusement, sous couvert de
cette analyse dans un but
de sécurité, Nicob va commettre ce qui ressemble
fort à une boulette. En effet,
il met une copie du fichier kbase de Checkspy
sur son site
personnel et donne le lien dans le newsgroup. Ni
une, ni deux, Serge
P. réagit : « Monsieur
Blancher, je constate avec effarement
que le forum que vous régulez comporte un message de Mr
Nicob qui indique très
clairement qu’il a décompilé notre
logiciel CheckSpy, extrait le mot de passe
et publié sur le site http://nicob.net/mirrors/kbase notre
base de donnée de
signatures de parasites espions. Ces faits sont d’une
ILLEGALITE TOTALE et TRES
FORTEMENT répréhensible tant au plan
Pénal qu’au plan Civil. La condamnation
maximale est de 3 ans de prison + 500 000 euro d’amendes. Par
conséquent, je
vous demande de retirer immédiatement du forum les messages
indiquant le lien
http://nicob.net/mirrors/kbase et de prévenir les
utilisateurs de votre forum
qu’une procédure pénal et civile sera
lancée d’ici 48 heures contre le
propriétaire du site nicob.net ».
Cédric Blancher
s’exécute : « Conformément
à la
demande de Serge P., et au regard de la législation en
vigueur, les
articles incriminés ont été
annulés » (mais les ordres
d’annulation
n’étant pas pris en compte par tous les serveurs
qui dupliquent les newsgroups,
les messages concernés figurent encore dans les
mémoires de certains).
En réalité,
inutile de décompiler, il suffit d’ouvrir les
fichiers avec un éditeur ASCII pour lire en clair les noms
de fichiers, les
appels de fonctions, etc. On pourrait arriver au même
résultat en analysant les
données qui circulent sur le réseau entre le
poste de l’utilisateur et le
serveur de la société. Il n’y a donc
sans doute rien de répréhensible. Par
contre, le fait que Nicob diffuse sur son site le fichier des
signatures de CheckSpy
en intégralité est plus sujet à
caution.
Tous contre
un !
Antivirus ou antispyware, le plus
gros travail des éditeurs
est d’analyser chaque nouvelle menace informatique afin de
trouver une
signature, qui permette de l’identifier en
générant le minimum de fausses
alertes, pour l’intégrer ensuite à une
base de donnée maison. Il est évident
qu’une société verrait d’un
mauvais œil qu’un tiers diffuse à sa
place le fruit
de son travail, la privant ainsi de ses revenus. Nicob se trouvant en
mauvaise
posture, plusieurs internautes surgissent alors pour s’en
prendre à Serge
P.. Des personnes qu’on avait déjà
vues pour la plupart agir de la même
façon contre la société Tegam dans une
affaire semblable (cette société avait
porté plainte en contrefaçon de son logiciel Viguard
contre un
internaute qui n’avait pas respecté les
règles morales d’une
révélation
responsable de faille de sécurité).
Parmi les virulents opposants au
dirigeant de Checkflow,
Stéphane Catteau, un autre modérateur de
fr.comp.securite, qui déclare douter
fort que « Monsieur P. ou sa
société puisse se prévaloir
d’une
réelle propriété (au titre de
l’article L 341-1 du CPI) concernant cette base
de données ». Pourtant
l’article L 341-1 du Code de la
Propriété Intellectuelle
stipule que « le producteur d’une
base de données, entendu comme la
personne qui prend l’initiative et le risque des
investissements
correspondants, bénéficie d’une
protection du contenu de la base lorsque la
constitution, la vérification ou la présentation
de celui-ci atteste d’un
investissement financier, matériel ou humain substantiel ».
Et
l’article L. 342-1 ajoute que « le
producteur de bases de données a le
droit d’interdire : [...] la
réutilisation, par la mise à la disposition
du public de la totalité ou d’une partie
qualitativement ou quantitativement
substantielle du contenu de la base, quelle qu’en soit la
forme ».
Stéphane Catteau tente une
autre piste : « c’est
à
la société de protéger ses
intérêts, ce qui n’est clairement pas le
cas ici
puisque n’importe qui peut avoir accès en clair
à la base de données, sans
avoir eu besoin de faire une copie de la version publiée par
Nicob ».
Argument tout aussi irrecevable : la plupart des livres qui
sortent ne
sont pas protégés contre la copie, ce
n’est pas pour autant que chacun peut les
diffuser librement sur Internet.
Affaire
classée
A en croire le petit groupe, Nicob
n’aurait donc rien à se
reprocher. Pourtant il retirera rapidement le fichier
incriminé de son site
personnel. Et, au final, contrairement à ce qu’il
avait annoncé, Serge P.
ne portera pas plainte. Dans la mesure où il n’a
pas souhaité répondre aux
questions à ce sujet, nous ne pouvons que faire des
suppositions sur les
raisons de cette marche arrière.
Peut être manquait-il de temps. Peut être ne
voulait-il pas
vivre le même enfer que Tegam : l’autre
société, à qui la justice donnera
raison finalement dans son procès en contrefaçon,
était devenue la cible d’un
acharnement quotidien du petit groupe d’internautes dans une
multitude de
forums, de blogs et de sites Internet, au point de fermer ses portes en
mai
2005. Quoiqu’il
en soit, la société Checkflow sera mise en
liquidation en juin 2006.
Pour anecdote, Nicob travaillait au
moment des faits pour Exaprobe,
une
société partenaire entre autre de Network
Associates et Computer
Associates,
des éditeurs proposant des antispywares.
Retour à la page principale
- Article modifié le 26/02/2007 suite à des
remarques pertinentes de Cédric Blancher.
- Article modifié le 10/04/2007 suite au décès de
M. Serge P.. Toutes mes condoléances à sa famille.