Année
2000: Pirates Magazine est agréé par la Commission
Paritaire des Publications et Agences de Presse (Cabinet du Premier
Ministre). Un haut fonctionnaire de l’État, ancien patron de la
Direction de la Sécurité du Territoire, demande
même à la rédaction de participer à une
conférence devant l’Élite de la Nation (Polytechniciens,
Saint-Cyriens, etc.). 2002 : Jean-Pierre Raffarin devient le
nouveau Premier Ministre, Pirates Magazine perd son agrément de
la CPPAP, sans savoir pourquoi.
Vous avez pu lire la
décision
du Conseil d’État
confirmant celle de la CPPAP dans le
Virus
HS3. Pour résumer: votre magazine est déclaré
«
au nom du peuple
français » coupable de
favoriser le piratage, mais n’a pas le droit de présenter sa
défense car rien de tel n’est prévu par la loi!
Pendant plusieurs mois, nous avons tenté de joindre la
Commission pour savoir quels sont nos articles qui la gênent,
afin de les éviter (en attendant de résoudre leur
problème devant un tribunal compétent) et que la
publication puisse à nouveau paraître. L’administration
n’a jamais daigné répondre, prouvant que la survie du
magazine lui importe peu. Au motif que nous lui envoyons un courrier
pour préciser notre démarche, elle estimera «
que la sous-commission a été
piratée » (
sic!).
Bonjour l’ambiance! Et ce
n’est qu’une fois qu’il était trop tard, qu’elle nous a, enfin,
communiqué notre « dossier complet »,
alors que c’était une obligation légale. Nous avions
pourtant besoin de tous ces documents pour argumenter notre recours
gracieux du 4 novembre 2002. La Commission n’a pas jugé
utile d’attendre nos explications et a maintenu d’office son refus,
sabotant ainsi définitivement la possibilité
légale qui nous était donnée de présenter
un recours gracieux motivé.
Des procès-verbaux tronqués!
« Dossier complet » est un grand mot, comme vous
pourrez le constater, sa lecture ne nous apprendra guère plus:
certains documents étant pour ainsi dire
vides! Le
Secrétaire Général de la CPPAP «
précise que le caractère
laconique des deux derniers procès-verbaux ne reflète pas
la réalité des débats, dont le compte rendu a
été volontairement ramassé étant
donné le nombre de recours gracieux examinés à
chaque séance ». Ben voyons! Comment la
Commission peut passer d’un avis d’experts, qu’elle qualifie
elle-même de « neutre », à une
décision
« négative »? On aimerait
bien savoir! D’ailleurs, dans une lettre censée et
compétente, M. Serres
rappelle
«
le caractère dual
de telles
informations, en ce sens que les informations prodiguées peuvent
permettre aux utilisateurs de se protéger face à
certaines vulnérabilités, mais qu’ils peuvent aussi
faciliter l’action de personnes peu scrupuleuses »
s’applique aussi au site Internet de la DCSSI, service
spécialisé du Premier Ministre. On en arrive au paradoxe
que si un magazine se contentait de reprendre les alertes publiques du
Premier Ministre pour leur donner une portée plus large et aider
le maximum de victimes, il ne pourrait être
d’intérêt général selon les critères
de la Commission!
Comment pirater la carte bancaire?
Passons sur les généralités de M. Serres et
revenons au contenu même de notre publication. Le dossier ne
permet pas de savoir quels articles nous sont reprochés. Il
semblerait que
ce
soit celui concernant « la lecture et
l’écriture dans les cartes à puce » qui ait
mis le feu aux poudres, mais nous n’en sommes même pas sûrs.
C’est la société Bull qui est à l’origine de la
puce utilisée dans des cartes bancaires, carte Vitale, carte
France Télécom, etc. Sa documentation technique est
très claire (même pour le novice) : toutes ces cartes
à puce possèdent des « zones
publiques », expressément destinées à
être lues par leur porteur. Beaucoup de cartes sont
également conçues pour que leur porteur puisse y
écrire lui-même des données personnelles dans
certaines zones: répertoire de numéros des cartes SIM des
téléphones portables, par exemple. Il est donc
légitime que l’utilisateur soit en possession d’un dispositif
dit « lecteur ». Mieux: les banques
souhaiteraient que chaque consommateur ait un tel lecteur, dans le but
de sécuriser les transactions sur Internet! Des lecteurs grand
public (Xiring, Lexibook, etc.) sont donc commercialisés en
grandes surfaces. Tous, y compris le nôtre, sont compatibles avec
la norme ISO 7816-3. Mais notre lecteur et les informations publiques
des constructeurs que nous avons republiées avec ne permettent
pas de pirater ou de faire des simulacres utilisables de cartes
à puce. Car les zones privées des
« transactions » sont protégées par
des mécanismes secrets de haut niveau (clefs) jamais
publiés dans nos pages. Mais la Commission a peut-être un
« scoop » inquiétant à ce sujet vu
ses accusations à notre égard? Y a-t-il une immense
faille de sécurité que le public et nous ignorons et qui
font que ces mécanismes tenus secrets ne seraient d’aucune
utilité?
Des articles déjà parus et
agréés!
Ce n’est pas fini: Patrick Gueulle, l’auteur de notre article, avait
déjà publié un article similaire dans
Elektor 234 de
décembre 1997 et 235 de janvier 1998 (publication
ayant le numéro de CPPAP 64739), dans
Interfaces PC 4 d’octobre 1999
(hors série de Électronique pratique, publication ayant
le numéro de CPPAP 60165), dans son livre
Téléphones portables et PC
(ISBN 2 10 005184 9, édité par Dunod/Videndi), etc. C’est
pour une reproduction dans nos pages que j’avais contacté ces
éditeurs puis cet ingénieur. Il est important de rappeler
que ses travaux ont été faits avec l’aide officielle de
Bull. On peut aussi rappeler les articles similaires de son
confrère Christian Tavernier dans
Interfaces PC 10 d’octobre 2001,
dans
Électronique Pratique
259 de juillet 2001. M. Tavernier y rappelle la
compatibilité de son schéma avec «
les logiciels proposés par Patrick
Gueulle dans le N° 4 d’Interfaces PC
, dont l’excellent Banque1 ou Banque2 de
décodage de la zone libre des cartes bancaires ».
M. Tavernier a également écrit un livre qui traite
ce sujet de façon plus approfondie:
Les cartes à puce, guide du
concepteur et du développeur (ISBN 2 10 006307 3,
Dunod/Vivendi). Pour anecdote, M. Tavernier est expert près
la Cour d’Appel d’Aix en Provence.
Dans le cas où ces explications ne seraient, par miracle, pas
suffisamment convaincantes, nous proposons de publier les avis des
inventeurs et fabricants de la carte à puce. Et nous pourrions
faire ainsi pour chaque article de
Pirates
Mag’ que la CPPAP nous soumettra.
Magazine coupable? État complice!
Pourquoi, à contenu équivalent, la Commission ne
réagit-elle pas de la même façon? Est-ce que le
« crime » de notre société est de
ne pas être Vivendi? Est-ce que notre
« crime » est d’éditer une publication
dont le titre contient le mot « Pirates »? Est-ce
que la Commission accuserait
Le
Journal du Sida d’aider ses lecteurs à diffuser le Sida?
Alors que le législateur a prévu une aide afin de
soutenir économiquement une presse variée et
indépendante, par son retrait de certificat, la Commission a
condamné au contraire un tel magazine indépendant de
défense des citoyens/consommateurs à cesser de
paraître pour une raison qu’elle ne veut pas dire clairement. Si
notre magazine était vraiment coupable d’aider les pirates,
comment l’État pourrait-il accepter sans honte de gagner encore
plus d’argent dessus (TVA, etc.)?
C’est ceux qui parlent le
plus...
Le 14 juillet 2002, M. le Président de la
République, Jacques Chirac déclarait:
« Nous avons une vieille
culture en France
qui est plus une culture d’affrontement que de dialogue, mais les
choses évoluent. Et il est de la responsabilité de ceux
qui assurent la charge des pouvoirs publics de l’État, mais
aussi des grandes organisations syndicales, professionnelles, des
grandes associations de participer à cette évolution. On
ne progresse pas réellement dans l’affrontement. Cela a
peut-être été le cas dans le passé,
historiquement. Ce n’est plus vrai aujourd’hui. »
Encore une de ses célèbres promesses jamais suivies
d’effet? Lorsque nous lui signalons que le Cabinet de son Premier
Ministre refuse de répondre à nos demandes d’informations
légitimes sur notre dossier, le Président répond
qu’il ne peut: « mieux
faire que de [nous] inviter
à [nous] rapprocher
des services du Premier Ministre compétents à cet
égard. » Nous voilà bien avancés!
|
|
Certificat avec réserve
Ainsi que vous pouvez le constater, une réserve avait
été émise concernant le certificat CPPAP de Pirates Magazine obtenu à sa
création. Ce n’était pas par rapport à son
contenu, mais du fait de nos légendaires retards de parution.
|
|
Le gouvernement a peur de
perdre le débat?
C’est un Commissaire du Gouvernement qui a défendu la position
de la CPPAP devant le Conseil d’État. Il explique
que le
magazine « relate sous
forme de brèves les exploits de tel ou tel pirate - hacker en
anglais - qui a réussi à s’introduire dans un
réseau particulièrement protégé ».
Preuve qu’il condamne sans savoir de quoi il parle, car un hacker n’est
pas un pirate. Au contraire ils sont opposés: un hacker est un
curieux qui cherche à comprendre comment marche le monde. Et
s’il trouve une faille dans un système, il alerte et aide les
sociétés à la colmater pour empêcher des
piratages, en bon citoyen. C’est ainsi que des banques, des
fournisseurs de mails, des magasins en ligne (etc.) ont
été sécurisés par l’intermédiaire de
Pirates Mag’.
De même, le Commissaire s’en prend ensuite à « des dossiers thématiques
très détaillés et pour le moins ambivalents.
Ainsi, dans le numéro de mai 2002, on trouve un article
intitulé « Comment espionner les cartes à
puce » ainsi qu’un dossier consacré aux mots de passe
protégeant les ordinateurs [...] sa tonalité générale
est plutôt de nature à encourager les lecteurs à
tester leurs connaissances toutes neuves ». Or un
« espion » de communication (réseau, carte
à puce…), plus communément appelé
« sniffer », est un outil légitime du
développeur ou du responsable sécurité. On en
trouve même livrés avec des systèmes d’exploitation
et ordinateurs! Concernant l’autre article, sur les mots de passe Bios, les informations ne peuvent
être utilisées que sur sa propre machine: il est
impossible d’utiliser à distance un mot de passe Bios! Le premier article est
signé de Patrick Gueulle, Ingénieur EFREI. Le second de
Christophe Grenier, Consultant Sécurité chez Global
Secure. Si le Cabinet du Premier Ministre était sûr de
lui, pensez-vous qu’il nous refuserait de présenter notre
défense à titre officiel?
|
|
La vérité est
ailleurs
À la dernière page d’un apprécié
confrère, on peut lire « MISC propose des articles complets et
pédagogiques afin d’anticiper au mieux les risques liés
au piratage et les solutions pour y remédier, présentant
pour cela des techniques offensives autant que défensives, leurs
avantages et leurs limites, des facettes indissociables pour
considérer tous les enjeux de la sécurité
informatique ».
Malgré cela, Misc
vient de voir son agrément de CPPAP renouvelé pour cinq
ans, alors même qu’il va beaucoup plus loin que Pirates Mag’ dans la technique!
Alors, aux yeux de la CPPAP, la vraie différence entre Misc et Pirates Mag’, c’est quoi? Le titre
racoleur et la tête de mort en couverture? Ou, tout simplement,
nos nombreux articles d’actualité engagés contre la
politique d’un gouvernement qui fait passer les intérêts
des riches multinationales avant ceux des citoyens? Prochaine
interdiction de la copie privée (alors qu’une chère taxe
sur la copie restera prélevée sur les supports vierges).
Fin du caractère privé de la correspondance par e-mails.
Instauration des brevets logiciels, malgré les belles promesses
du Président. Etc, etc.
|
|
Annexes :
- notre
communiqué
à l'annonce de la suspension de
Pirates Mag'.
-
vous en avez
parlé.
Mise à jour :
Pirates Mag' a
retrouvé son numéro de CPPAP le 10 mars 2005, sans
explication.
Vous pouvez recopier librement le contenu de cette page ailleurs (en indiquant le lien de cette page), mais sans le modifier ni en faire un usage commercial. Ce contenu est sous licence Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.