ACBM - Le Virus Informatique qui vous défend !Retour à l'accueilLes brèvesLe magasinContacts Ecrire dans le virusListe de diffusionPetites annoncesLes concours



Paru dans Le Virus Informatique n°26
2004-06-01 00:00

Pirates Mag’ : les documents que le Premier Ministre nous cachait !


Année 2000: Pirates Magazine est agréé par la Commission Paritaire des Publications et Agences de Presse (Cabinet du Premier Ministre). Un haut fonctionnaire de l’État, ancien patron de la Direction de la Sécurité du Territoire, demande même à la rédaction de participer à une conférence devant l’Élite de la Nation (Polytechniciens, Saint-Cyriens, etc.). 2002 : Jean-Pierre Raffarin devient le nouveau Premier Ministre, Pirates Magazine perd son agrément de la CPPAP, sans savoir pourquoi.

Vous avez pu lire la décision du Conseil d’État confirmant celle de la CPPAP dans le Virus HS3. Pour résumer: votre magazine est déclaré « au nom du peuple français » coupable de favoriser le piratage, mais n’a pas le droit de présenter sa défense car rien de tel n’est prévu par la loi!
Pendant plusieurs mois, nous avons tenté de joindre la Commission pour savoir quels sont nos articles qui la gênent, afin de les éviter (en attendant de résoudre leur problème devant un tribunal compétent) et que la publication puisse à nouveau paraître. L’administration n’a jamais daigné répondre, prouvant que la survie du magazine lui importe peu. Au motif que nous lui envoyons un courrier pour préciser notre démarche, elle estimera « que la sous-commission a été piratée » (sic!). Bonjour l’ambiance! Et ce n’est qu’une fois qu’il était trop tard, qu’elle nous a, enfin, communiqué notre « dossier complet », alors que c’était une obligation légale. Nous avions pourtant besoin de tous ces documents pour argumenter notre recours gracieux du 4 novembre 2002. La Commission n’a pas jugé utile d’attendre nos explications et a maintenu d’office son refus, sabotant ainsi définitivement la possibilité légale qui nous était donnée de présenter un recours gracieux motivé.

Des procès-verbaux tronqués!

« Dossier complet » est un grand mot, comme vous pourrez le constater, sa lecture ne nous apprendra guère plus: certains documents étant pour ainsi dire vides! Le Secrétaire Général de la CPPAP « précise que le caractère laconique des deux derniers procès-verbaux ne reflète pas la réalité des débats, dont le compte rendu a été volontairement ramassé étant donné le nombre de recours gracieux examinés à chaque séance ». Ben voyons! Comment la Commission peut passer d’un avis d’experts, qu’elle qualifie elle-même de « neutre », à une décision « négative »? On aimerait bien savoir! D’ailleurs, dans une lettre censée et compétente, M. Serres rappelle « le caractère dual de telles informations, en ce sens que les informations prodiguées peuvent permettre aux utilisateurs de se protéger face à certaines vulnérabilités, mais qu’ils peuvent aussi faciliter l’action de personnes peu scrupuleuses » s’applique aussi au site Internet de la DCSSI, service spécialisé du Premier Ministre. On en arrive au paradoxe que si un magazine se contentait de reprendre les alertes publiques du Premier Ministre pour leur donner une portée plus large et aider le maximum de victimes, il ne pourrait être d’intérêt général selon les critères de la Commission!

Comment pirater la carte bancaire?

Passons sur les généralités de M. Serres et revenons au contenu même de notre publication. Le dossier ne permet pas de savoir quels articles nous sont reprochés. Il semblerait que ce soit celui concernant « la lecture et l’écriture dans les cartes à puce » qui ait mis le feu aux poudres, mais nous n’en sommes même pas sûrs.
C’est la société Bull qui est à l’origine de la puce utilisée dans des cartes bancaires, carte Vitale, carte France Télécom, etc. Sa documentation technique est très claire (même pour le novice) : toutes ces cartes à puce possèdent des « zones publiques », expressément destinées à être lues par leur porteur. Beaucoup de cartes sont également conçues pour que leur porteur puisse y écrire lui-même des données personnelles dans certaines zones: répertoire de numéros des cartes SIM des téléphones portables, par exemple. Il est donc légitime que l’utilisateur soit en possession d’un dispositif dit « lecteur ». Mieux: les banques souhaiteraient que chaque consommateur ait un tel lecteur, dans le but de sécuriser les transactions sur Internet! Des lecteurs grand public (Xiring, Lexibook, etc.) sont donc commercialisés en grandes surfaces. Tous, y compris le nôtre, sont compatibles avec la norme ISO 7816-3. Mais notre lecteur et les informations publiques des constructeurs que nous avons republiées avec ne permettent pas de pirater ou de faire des simulacres utilisables de cartes à puce. Car les zones privées des « transactions » sont protégées par des mécanismes secrets de haut niveau (clefs) jamais publiés dans nos pages. Mais la Commission a peut-être un « scoop » inquiétant à ce sujet vu ses accusations à notre égard? Y a-t-il une immense faille de sécurité que le public et nous ignorons et qui font que ces mécanismes tenus secrets ne seraient d’aucune utilité?

Des articles déjà parus et agréés!

Ce n’est pas fini: Patrick Gueulle, l’auteur de notre article, avait déjà publié un article similaire dans Elektor 234 de décembre 1997 et 235 de janvier 1998 (publication ayant le numéro de CPPAP 64739), dans Interfaces PC 4 d’octobre 1999 (hors série de Électronique pratique, publication ayant le numéro de CPPAP 60165), dans son livre Téléphones portables et PC (ISBN 2 10 005184 9, édité par Dunod/Videndi), etc. C’est pour une reproduction dans nos pages que j’avais contacté ces éditeurs puis cet ingénieur. Il est important de rappeler que ses travaux ont été faits avec l’aide officielle de Bull. On peut aussi rappeler les articles similaires de son confrère Christian Tavernier dans Interfaces PC 10 d’octobre 2001, dans Électronique Pratique 259 de juillet 2001. M. Tavernier y rappelle la compatibilité de son schéma avec « les logiciels proposés par Patrick Gueulle dans le N° 4 d’Interfaces PC, dont l’excellent Banque1 ou Banque2 de décodage de la zone libre des cartes bancaires ». M. Tavernier a également écrit un livre qui traite ce sujet de façon plus approfondie: Les cartes à puce, guide du concepteur et du développeur (ISBN 2 10 006307 3, Dunod/Vivendi). Pour anecdote, M. Tavernier est expert près la Cour d’Appel d’Aix en Provence.
Dans le cas où ces explications ne seraient, par miracle, pas suffisamment convaincantes, nous proposons de publier les avis des inventeurs et fabricants de la carte à puce. Et nous pourrions faire ainsi pour chaque article de Pirates Mag’ que la CPPAP nous soumettra.

Magazine coupable? État complice!

Pourquoi, à contenu équivalent, la Commission ne réagit-elle pas de la même façon? Est-ce que le « crime » de notre société est de ne pas être Vivendi? Est-ce que notre « crime » est d’éditer une publication dont le titre contient le mot « Pirates »? Est-ce que la Commission accuserait Le Journal du Sida d’aider ses lecteurs à diffuser le Sida?
Alors que le législateur a prévu une aide afin de soutenir économiquement une presse variée et indépendante, par son retrait de certificat, la Commission a condamné au contraire un tel magazine indépendant de défense des citoyens/consommateurs à cesser de paraître pour une raison qu’elle ne veut pas dire clairement. Si notre magazine était vraiment coupable d’aider les pirates, comment l’État pourrait-il accepter sans honte de gagner encore plus d’argent dessus (TVA, etc.)?

C’est ceux qui parlent le plus...

Le 14 juillet 2002, M. le Président de la République, Jacques Chirac déclarait: « Nous avons une vieille culture en France qui est plus une culture d’affrontement que de dialogue, mais les choses évoluent. Et il est de la responsabilité de ceux qui assurent la charge des pouvoirs publics de l’État, mais aussi des grandes organisations syndicales, professionnelles, des grandes associations de participer à cette évolution. On ne progresse pas réellement dans l’affrontement. Cela a peut-être été le cas dans le passé, historiquement. Ce n’est plus vrai aujourd’hui. » Encore une de ses célèbres promesses jamais suivies d’effet? Lorsque nous lui signalons que le Cabinet de son Premier Ministre refuse de répondre à nos demandes d’informations légitimes sur notre dossier, le Président répond qu’il ne peut: « mieux faire que de [nous] inviter à [nous] rapprocher des services du Premier Ministre compétents à cet égard. » Nous voilà bien avancés!

Certificat avec réserve

Ainsi que vous pouvez le constater, une réserve avait été émise concernant le certificat CPPAP de Pirates Magazine obtenu à sa création. Ce n’était pas par rapport à son contenu, mais du fait de nos légendaires retards de parution.

Le gouvernement a peur de perdre le débat?

C’est un Commissaire du Gouvernement qui a défendu la position de la CPPAP devant le Conseil d’État. Il explique que le magazine « relate sous forme de brèves les exploits de tel ou tel pirate - hacker en anglais - qui a réussi à s’introduire dans un réseau particulièrement protégé ». Preuve qu’il condamne sans savoir de quoi il parle, car un hacker n’est pas un pirate. Au contraire ils sont opposés: un hacker est un curieux qui cherche à comprendre comment marche le monde. Et s’il trouve une faille dans un système, il alerte et aide les sociétés à la colmater pour empêcher des piratages, en bon citoyen. C’est ainsi que des banques, des fournisseurs de mails, des magasins en ligne (etc.) ont été sécurisés par l’intermédiaire de Pirates Mag’.
De même, le Com­missaire s’en prend ensuite à « des dossiers thématiques très détaillés et pour le moins ambivalents. Ainsi, dans le numéro de mai 2002, on trouve un article intitulé « Comment espionner les cartes à puce » ainsi qu’un dossier consacré aux mots de passe protégeant les ordinateurs [...] sa tonalité générale est plutôt de nature à encourager les lecteurs à tester leurs connaissances toutes neuves ». Or un « espion » de communication (réseau, carte à puce…), plus communément appelé « sniffer », est un outil légitime du développeur ou du responsable sécurité. On en trouve même livrés avec des systèmes d’exploitation et ordinateurs! Concernant l’autre article, sur les mots de passe Bios, les informations ne peuvent être utilisées que sur sa propre machine: il est impossible d’utiliser à distance un mot de passe Bios! Le premier article est signé de Patrick Gueulle, Ingénieur EFREI. Le second de Christophe Grenier, Consultant Sécurité chez Global Secure. Si le Cabinet du Premier Ministre était sûr de lui, pensez-vous qu’il nous refuserait de présenter notre défense à titre officiel?

La vérité est ailleurs

À la dernière page d’un apprécié confrère, on peut lire « MISC propose des articles complets et pédagogiques afin d’anticiper au mieux les risques liés au piratage et les solutions pour y remédier, présentant pour cela des techniques offensives autant que défensives, leurs avantages et leurs limites, des facettes indissociables pour considérer tous les enjeux de la sécurité informatique ».
Malgré cela, Misc vient de voir son agrément de CPPAP renouvelé pour cinq ans, alors même qu’il va beaucoup plus loin que Pirates Mag’ dans la technique! Alors, aux yeux de la CPPAP, la vraie différence entre Misc et Pirates Mag’, c’est quoi? Le titre racoleur et la tête de mort en couverture? Ou, tout simplement, nos nombreux articles d’actualité engagés contre la politique d’un gouvernement qui fait passer les intérêts des riches multinationales avant ceux des citoyens? Prochaine interdiction de la copie privée (alors qu’une chère taxe sur la copie restera prélevée sur les supports vierges). Fin du caractère privé de la correspondance par e-mails. Instauration des brevets logiciels, malgré les belles promesses du Président. Etc, etc.

Annexes :
- notre communiqué à l'annonce de la suspension de Pirates Mag'.
- vous en avez parlé.

Mise à jour :
Pirates Mag' a retrouvé son numéro de CPPAP le 10 mars 2005, sans explication.


Olivier Aichelbaum


Vous aimez cette page ? Partagez-en le lien sur les réseaux sociaux !

Facebook
Twitter
Google+
LinkedIn

Vous pouvez aussi recopier librement son contenu ailleurs (en indiquant le lien de cette page), mais sans le modifier ni en faire un usage commercial. Ce contenu est sous licence Creative Commons Attribution-NonCommercial-NoDerivatives 4.0 International License.
Creative Commons License

Retour aux archives
Retour à l'accueil
[RSS]
Legal & cookies