"Myfip, un ver invisible se propage dans les réseaux des entreprises"

1 view
Skip to first unread message

Olivier Aichelbaum

unread,
Oct 4, 2005, 2:01:55 PM10/4/05
to
Bonjour,

"Myfip, un ver invisible se propage dans les réseaux des entreprises
pour voler des données sensibles."

Ca aurait été un communiqué Tegam, on aurait déjà eu un troll. Mais
là c'est un communiqué F-Secure :
http://www.zataz.com/communiques-presse/9097/rootkits.html

"Un ver actif invisible qui utilise les technologies de rootkit peut
rester indétectable par un anti-virus ordinaire."

Heureusement, y a super-F-Secure qui va vous protéger !
( http://www.f-secure.com/images/fsc_logo.jpg )

Good luck ! ;)

--
Olivier Aichelbaum

Roland Garcia

unread,
Oct 4, 2005, 3:05:04 PM10/4/05
to
Olivier Aichelbaum a écrit :

Ca semble confirmé par une étude publiée dans le dernier MISC.

--
Roland Garcia

Ewa (siostra Ani) N.

unread,
Oct 4, 2005, 4:58:44 PM10/4/05
to

Le mardi 4 octobre 2005 à 20:01:55, dans <4342c346$0$12609$636a...@news.free.fr> vous écriviez :

> "Myfip, un ver invisible se propage dans les réseaux des entreprises
> pour voler des données sensibles."

> Ca aurait été un communiqué Tegam, on aurait déjà eu un troll.


ils ont fait, eux aussi, un Good Luck ?


> Good luck ! ;)

vous êtes connaisseur, à ce que je vois


--
Niesz

tweakie

unread,
Oct 9, 2005, 8:10:04 AM10/9/05
to
[Repost d'un message non diffuse' depuis Gyptis.org]

Olivier Aichelbaum wrote:

> Ca aurait été un communiqué Tegam, on aurait déjà eu un troll. Mais
> là c'est un communiqué F-Secure :

Il y a un certain nombre de differences entre le communique' de f-secure et
l'"affaire Goodluck". Puisqu'elles semblent vous echapper, en voici quelques
unes :

- Le communique' de f-secure n'a pas ete' declare' "confidentiel" par ses
auteurs avant d'etre envoye' a quelques institutions et medias institutionnels
tries sur le volet. N'importe quel clampin peut ainsi prendre connaissance de
son contenu et, le cas echeant le critiquer ou le corriger.

- Le communique' publie' sur le site de f-secure ne contient pas le terme
invisible, mais le terme "stealth", terme communement employe' pour designer
les logiciels malveillants qui mettent en oeuvre des techniques de
dissimulation. Je n'y ai pas trouve' le texte en Francais sur ce site. Est-ce
f-secure qui est responsable de la traduction ?

- Il ne s'agit pas ici d'une "etude prospective" mais d'un compte rendu portant
sur un programme malveillant qui s'est effectivement propage'. Et oui, il est
bien evidemment edite' a des fins (ouvertement) commerciales.

- Par consequent, F-secure n'a donc pas eu besoin de concevoir a-posteriori, ni
de laisser diffuser via le site d'une conference judicieusement intitulee
"blackhat", un cheval de troie correspondant a celui decrit dans le
communique'.


> Un ver actif invisible qui utilise les technologies de rootkit peut
> rester indétectable par un anti-virus ordinaire."

Vous qui etes si tatillon sur tout ce qui touche a l'integrite' des citations
et sur les "coupes malhonnetes", vous auriez pu recopier par la meme occasion
les deux phrases suivantes, qui nuancent cette affirmation.

A part l'anecdotique Myfip, ce qu'il faut a mon avis retenir de ce communique'
c'est surtout que les antivirus a signatures integrent petit a petit des
techniques generiques afin de complementer la detection a base de signatures.
Et c'est tant mieux.

--
Tweakie


-----------------------------------------
Message sent by Excite Newsgroups.
http://www.excite.co.uk/newsgroup


Olivier Aichelbaum

unread,
Oct 9, 2005, 8:40:19 AM10/9/05
to
tweakie wrote:
> Olivier Aichelbaum wrote:
>
>>Ca aurait été un communiqué Tegam, on aurait déjà eu un troll. Mais
>>là c'est un communiqué F-Secure :
>
> Il y a un certain nombre de differences entre le communique' de f-secure et
> l'"affaire Goodluck". Puisqu'elles semblent vous echapper, en voici quelques
> unes :
>
> - Le communique' de f-secure n'a pas ete' declare' "confidentiel" par ses
> auteurs avant d'etre envoye' a quelques institutions et medias institutionnels
> tries sur le volet. N'importe quel clampin peut ainsi prendre connaissance de
> son contenu et, le cas echeant le critiquer ou le corriger.

Le communiqué de Tegam était public. Pas le rapport détaillé en effet.
Le communiqué de F-Secure est public. Où peut-on consulter le rapport
détaillé de F-Secure ?


> - Le communique' publie' sur le site de f-secure ne contient pas le terme
> invisible, mais le terme "stealth", terme communement employe' pour designer
> les logiciels malveillants qui mettent en oeuvre des techniques de
> dissimulation. Je n'y ai pas trouve' le texte en Francais sur ce site. Est-ce
> f-secure qui est responsable de la traduction ?

La traduction que j'ai indiquée est la version officielle (la société
est présente en France).


> - Il ne s'agit pas ici d'une "etude prospective" mais d'un compte rendu portant
> sur un programme malveillant qui s'est effectivement propage'.

De manière générale, auriez-vous quelque chose contre les études
prospectives et la recherche ?


> Et oui, il est bien evidemment edite' a des fins (ouvertement)
> commerciales.

Je le pense pour F-Secure et pour Tegam.


> - Par consequent, F-secure n'a donc pas eu besoin de concevoir a-posteriori, ni
> de laisser diffuser via le site d'une conference judicieusement intitulee
> "blackhat", un cheval de troie correspondant a celui decrit dans le
> communique'.

Toutes les personnes intérrogées me disent que Tegam n'est en rien
responsable de cette diffusion (Eric D., Eyal D., Misc, etc.).
Vous avez prétendu le contraire. Si vous voulez me convaincre que
que ce que vous dites est en fait, et non une simple extrapolation
de votre part, j'attends vos preuves.


>>Un ver actif invisible qui utilise les technologies de rootkit peut
>>rester indétectable par un anti-virus ordinaire."
>
> Vous qui etes si tatillon sur tout ce qui touche a l'integrite' des citations
> et sur les "coupes malhonnetes", vous auriez pu recopier par la meme occasion
> les deux phrases suivantes, qui nuancent cette affirmation.

Je voulais isoler une phrase, comme cela avait été fait pour Tegam
à maintes reprises sans que vous n'émettiez d'objection.

--
Olivier Aichelbaum

tweakie

unread,
Oct 12, 2005, 4:26:37 PM10/12/05
to
tweakie wrote:

> Le communiqué de Tegam était public. Pas le rapport détaillé en effet.

Le communique' annoncait quoi, deja ? L'existence d'un rapport detaille' ?

> Le communiqué de F-Secure est public. Où peut-on consulter le rapport
> détaillé de F-Secure ?

Ici : http://www.f-secure.com/v-descs/myfip_h.shtml
Pour plus de details, il suffit de se procurer un echantillon.

> La traduction que j'ai indiquée est la version officielle (la société
> est présente en France).

Au temps pour moi, c'est la mention "Auteur : D.B." sur zataz.com qui
m'avait fait poser cette question. Reste que c'est plus le traducteur
qui est a blamer (il aurait du employer le terme "furtif" plutot qu'
invisible), que le communique' d'origine.

> De manière générale, auriez-vous quelque chose contre les études
> prospectives et la recherche ?

Pas tant que le caractere prospectif n'est pas usurpe' et qu'il est
clairement annonce'.

>> Et oui, il est bien evidemment edite' a des fins (ouvertement)
>> commerciales.
>
> Je le pense pour F-Secure et pour Tegam.

Ca avait du echapper au journaliste du Figaro qui a parle' de Goodluck.


> - Par consequent, F-secure n'a donc pas eu besoin de concevoir a-posteriori,
ni
> de laisser diffuser via le site d'une conference judicieusement intitulee
> "blackhat", un cheval de troie correspondant a celui decrit dans le
> communique'.


> Toutes les personnes intérrogées me disent que Tegam n'est en rien
> responsable de cette diffusion (Eric D., Eyal D., Misc, etc.).

Tiens, qu'est-ce qui vous fait penser que les responsables MISC pourraient
avoir des informations privilegiees a ce sujet ?

> Vous avez prétendu le contraire. Si vous voulez me convaincre que
> que ce que vous dites est en fait, et non une simple extrapolation
> de votre part, j'attends vos preuves.

C'est simple, je me base sur des donnees publiquement accessibles :

[1] http://www.virusbtn.com/issues/virusbulletin/backissues/2003/200306.pdf
(page 12) :

"In order to verify these findings and observe how protection programs
react, my R&D team and I built sample SST Trojans using Visual C++ and
tested them on Windows 2000 Pro".

(Resume' en Francais ici :
http://groups.google.com/groups?selm=20031117192659.D32521%40areba.vasb&output=gplain
)

[2]
http://www.blackhat.com/presentations/bh-europe-04/bh-eu-04-detoisien/bh-eu-04-detoisien-up.pdf
http://www.blackhat.com/presentations/bh-europe-04/bh-eu-04-detoisien/bh-eu-04-detoisien-demo.zip

[3] http://www.virfirewall.com/info/injection.htm
Cette page publie une copie d'un des articles de MISC, et contient des
liens vers du code publie' sur le site d'Eric Detoisien.

Note : Le domaine virfirewall.com est enregistre' par Eyal Dotan.


[4]
http://66.249.93.104/search?q=cache:d2UmN_C3FdgJ:www.viguard.com/en/news_view.php%3Fnum%3D89+Goodluck+Tegam+Virus+Bulletin&hl=de


"It’s also true that the GoodLuck Report, a study anticipating new
kinds of deadly attacks that could be purported by stealth Trojan horses,
is a work of very responsible research which, more than two years ahead
of its time, described some of the methods used by MYDOOM. Parts of it
described the danger of code injection, user-mode TCP/IP sniffer, API
hooking and remote updating and showed how it could be combined in
Trojan horses and malware, and were published in the Virus Bulletin
magazine, and presented in the Black Hat conference. Why is it that
some people were quick to treat this document as a hoax, without even
reading it, although they now claim to be involved in research on
security? "


Tout y est :

- Il est clairement etabli dans l'article du Virus Bulletin [1] que Tegam a
developpe' ou fait developper un cheval de troie "proof of concept" dans le
cadre de son etude sur les chevaux de troies evolutifs et furtifs. L'article du
Virus Bulletin est signe' Eyal Dotan.
- Il est clairement etabli dans ce communique' de Tegam ("part of it[...]were
published [...]"[4] que "GoodLuck", le PoC dont il est question dans l'article
du Virus Bulletin et Casper sont la meme bestiole (Casper est le cheval de
troie qui etait diffuse' sur le site de la conference Blackhat).
- Il est clairement etabli [2] que la presentation a la conference BlackHat
s'est faite a la connaissance et avec l'approbation de Tegam (voir 1et
transparent).
- Eyal Dotan etait co-auteur de l'article qui y etait presente' [2], et a ce
titre, il est solidairement responsable de ce qui a ete' publie' a cette
conference. Au cas ou vous l'ignoreriez, co-signer un papier implique _aussi_
un certain nombre de responsabilites. Il se trouve que ce qui a ete' publie'
sur le site de cette conference inclut le code source du cheval de troie
Casper. En tant que co-auteur de l'article ayant contribue' au developpement du
cheval de troie (nous discuterons ce point plus en detail si vous le souhaitez),
Eyal Dotan a au minimum fait preuve de negligence en laissant distribuer ce code
source. Negligence qui va a l'encontre des regles de bonne conduite en vigueur
dans le monde anti-viral (cf.
http://www.av-comparatives.org/seiten/ergebnisse/methodology.pdf page 5, par
exemple).
- Pour couronner le tout, les extraits de code publies dans MISC [3] dans des
articles co-signes par Eyal Dotan correspondent a ceux de Casper, c'est a dire
a ceux publies sur le site de la conference Blackhat. Eyal est-il etranger a la
publication de ces extraits de code ?

Cela dit, je veux bien croire qu'Eyal ait realise' la bevue que
represente la diffusion du code source de ce cheval de troie ait qu'il
ait prefere' s'en desolidariser quand vous lui avez pose' la question.

Maintenant, une question :

Quand Frederic Mense vous dit qu'il n'est pas Marc Henry, vous ne le
croyez pas (cf. "Vous y croyez, vous ?" de votre article du virus 26).
Quand, malgre' une masse de preuves publiquement disponibles, Eyal Dotan
vous dit etre totalement etranger a la conception de Casper, vous ne
mettez pas sa parole en doute.

Pourquoi ?

Olivier Aichelbaum

unread,
Oct 12, 2005, 5:33:41 PM10/12/05
to
tweakie wrote:

>>Le communiqué de Tegam était public. Pas le rapport détaillé en effet.
>
> Le communique' annoncait quoi, deja ? L'existence d'un rapport detaille' ?
>
>>Le communiqué de F-Secure est public. Où peut-on consulter le rapport
>>détaillé de F-Secure ?
>
> Ici : http://www.f-secure.com/v-descs/myfip_h.shtml
> Pour plus de details, il suffit de se procurer un echantillon.

C'est court ! Le rapport de Tegam était bien plus gros. Alors en effet,
ce n'est pas comparable avec cette étude d'à peine une page ;)


>>Toutes les personnes intérrogées me disent que Tegam n'est en rien
>>responsable de cette diffusion (Eric D., Eyal D., Misc, etc.).
>
> Tiens, qu'est-ce qui vous fait penser que les responsables MISC pourraient
> avoir des informations privilegiees a ce sujet ?

J'ai mené l'enquête quand vous avez prétendu sur newffr que des bouts de
code avaient été publiés dans Misc à cause de Tegam (dans une page où
vous en preniez à moi sans me contacter et vous soucier de savoir si
vous répercutiez telle quelle ma pensée ou si vous la déformiez - ce qui
était malheureusement le cas)


>>Vous avez prétendu le contraire. Si vous voulez me convaincre que
>>que ce que vous dites est en fait, et non une simple extrapolation
>>de votre part, j'attends vos preuves.
>
> C'est simple, je me base sur des donnees publiquement accessibles :

Vous me donnez une fois de plus une extrapolation, pas une preuve
concrête de l'accusation que vous portez. Vous comprendez la nuance
le jour où vous recevrez une plainte en diffamation (je ne vous le
souhaite pas).


> Cela dit, je veux bien croire qu'Eyal ait realise' la bevue que
> represente la diffusion du code source de ce cheval de troie ait qu'il
> ait prefere' s'en desolidariser quand vous lui avez pose' la question.

Si vous présentez cela comme un avis personnel et non comme un fait
avéré, j'ai moins d'objection, la thèse se défend mais cela voudrait
dire que toutes les personnes autour ont menti aussi. hmmm...


> Maintenant, une question :
>
> Quand Frederic Mense vous dit qu'il n'est pas Marc Henry, vous ne le
> croyez pas (cf. "Vous y croyez, vous ?" de votre article du virus 26).
> Quand, malgre' une masse de preuves publiquement disponibles, Eyal Dotan
> vous dit etre totalement etranger a la conception de Casper, vous ne
> mettez pas sa parole en doute.
>
> Pourquoi ?

J'ai croisé les deux cas avec des témoignages extérieurs. Dans le cas
E. Dotan, personne ne conteste. Concernant "Marc Henry", j'ai eu une
entrevue "off" d'un proche qui m'a convaincu.

Olivier Aichelbaum

Message has been deleted

tweakie

unread,
Oct 12, 2005, 6:37:15 PM10/12/05
to
Olivier Aichelbaum

> J'ai mené l'enquête quand vous avez prétendu sur newffr que des bouts de
> code avaient été publiés dans Misc à cause de Tegam (dans une page où
> vous en preniez à moi sans me contacter et vous soucier de savoir si
> vous répercutiez telle quelle ma pensée ou si vous la déformiez - ce qui
> était malheureusement le cas)

Il ne fallait pas hesiter a repondre sur le forum. Les inscriptions y etaient
libres et vous auriez eu droit a autant de droits de reponse, aussi longs que
vous l'auriez souhaite'. Je n'aurais rien censure' ou edite', vous pouvez me
croire.

> Vous me donnez une fois de plus une extrapolation, pas une preuve
> concrête de l'accusation que vous portez. Vous comprendez la nuance
> le jour où vous recevrez une plainte en diffamation (je ne vous le
> souhaite pas).

Si je ne pensais pas que des magistrats etaient capables de suivre - et
d'approuver - la logique de mon raisonnement, je n'aurais rien ecrit a ce
sujet. Je ne vois toujours pas ou peche cette logique. Eclairez moi.

--
Tweakie
eikaewt at hotmail point com

Olivier Aichelbaum

unread,
Oct 12, 2005, 8:16:44 PM10/12/05
to
tweakie wrote:

> Il ne fallait pas hesiter a repondre sur le forum. Les inscriptions y etaient
> libres et vous auriez eu droit a autant de droits de reponse, aussi longs que
> vous l'auriez souhaite'. Je n'aurais rien censure' ou edite', vous pouvez me
> croire.

Je n'en crois rien. Quand pour vos textes sur moi vous me contacterez au
préalable pour avoir mon opinion sans la déformer, quand vous cesserez
de sous-entendre qu'une personne d'ACBM est amie de D.K., etc etc alors
j'aurai confiance en vous et vos méthodes.


>>Vous me donnez une fois de plus une extrapolation, pas une preuve
>>concrête de l'accusation que vous portez. Vous comprendez la nuance
>>le jour où vous recevrez une plainte en diffamation (je ne vous le
>>souhaite pas).
>
> Si je ne pensais pas que des magistrats etaient capables de suivre - et
> d'approuver - la logique de mon raisonnement, je n'aurais rien ecrit a ce
> sujet. Je ne vois toujours pas ou peche cette logique. Eclairez moi.

Tous les faits que vous alignez sont vrais et peuvent le rester sans
que E. Dotan soit lui même l'auteur de Casper et sans qu'il ait
participé activement à sa diffusion. Par exemple, chaque personne
co-signataire d'un article pourrait assumer sa propre partie et pas
l'autre. Je vous rappele de plus que tous les témoins confirment la
version d'E. Dotan. Un tribunal pourrait donc admettre leur position,
surtout si de votre côté vous ne les avez pas contactés au préalable,
ce qui serait perçu comme un texte uniquement "à charge".

Olivier Aichelbaum

tweakie

unread,
Oct 13, 2005, 2:44:11 AM10/13/05
to
>> Je n'aurais rien censure' ou edite', vous pouvez me
>> croire.
>
> Je n'en crois rien.

Vous avez tort. Seuls quelques messages vulgaires, injurieux ou manifestement
illegaux etaient retires ou edites.

> [...] Par exemple, chaque personne


> co-signataire d'un article pourrait assumer sa propre partie et pas
> l'autre. Je vous rappele de plus que tous les témoins confirment la
> version d'E. Dotan. Un tribunal pourrait donc admettre leur position,
> surtout si de votre côté vous ne les avez pas contactés au préalable,
> ce qui serait perçu comme un texte uniquement "à charge".

Voila une bien curieuse theorie. Selon vous, chacun ne serait
responsable "que de sa propre partie" quand bien meme il n'y aurait
dans l'article aucun moyen de distinguer la partie de l'un de celle
de l'autre.

Voila ou nos opinions divergent. Je maintiens quant a moi que les
co-auteurs d'un article sont solidairement responsables du contenu
de cet article, surtout si rien dans l'article ne permet de
distnguer le travail de l'un de celui de l'autre. Si un auteur
ne souhaite pas assumer cette responsabilite', il existe des
solutions : decouper l'article en parties distinctes, signees
individuellement, retirer sa contribution et n'etre cite' que
dans les remerciements ou par le biais de references bibliographiques,
abandonner purement et simplement la publication.

D'autre part, le processus de developpement logiciel, quelle que
soit l'approche choisie (RUP, PLMP, XP, ...) ne comporte
pas que l'etape de codage elle-meme. Meme pour les tres petits
projets comme celui-ci, on commence par etudier la faisabilite', le
design, les methodes a utiliser, etc. Et quand un projet sert de
support a deux communications et a trois articles, c'est qu'on y
attache une certaine importance. Etant donne' le contenu de
l'article du Virus Bulletin (dont Eric Detoisien n'est pas
co-signataire), et les communiques de Tegam (qui assimilent
clairement le contenu de ce qui a ete' presente' au BlackHat
et ce qui a ete' publie' dans le Virus Bulletin), je ne vois pas
comment on peut pretendre qu'Eyal Dotan, qui est un developpeur
professionnel, n'a ete' implique' a aucun niveau dans
le processus de conception de Casper. Ca ne tient tout
bonnement pas la route.

Pour ce qui est de la diffusion, j'ai parle' de negligence
(avez-vous remarque' que l'archive est toujours telechargeable
depuis le site de la conference ?).
Quand une compagnie produisant un anti-virus (ou un firewall
antiviral, comme vous voudrez) est impliquee a un niveau ou a
un autre dans le developpement d'un code potentiellement
malveillant, il lui incombe de garantir la confidentialite'
du code finalement developpe'. Il en va d'ailleurs de meme
pour le code collecte' par ces compagnies aupres de sources
externes.

Voyez par exemple le laboratoire "blinde'" utilise' par
f-secure pour ses experimentations sur les malwares pour
plateformes mobiles :

http://www.f-secure.com/weblog/archives/archive-112004.html#00000373
http://www.f-secure.com/weblog/archives/archive-082004.html#00000273

Essayez donc d'obtenir un echantillon de la part d'un
labo antivirus si vous ne me croyez pas.

Mais ce qui me gene le plus dans cette affaire, ce n'est pas
tant la diffusion d'une PoC (j'y suis par principe plutot
favorable, y compris pour demontrer des techniques offensives)
mais le decalage existant entre cette diffusion - dont l'objectif
est selon moi essentiellement promotionnel - et l'attitude
jusqu'au boutiste affichee par Tegam vis-a-vis des auteurs
de malwares.

--
Tweakie

Olivier Aichelbaum

unread,
Oct 13, 2005, 5:07:44 AM10/13/05
to
tweakie wrote:

> Voila une bien curieuse theorie. Selon vous, chacun ne serait
> responsable "que de sa propre partie" quand bien meme il n'y aurait
> dans l'article aucun moyen de distinguer la partie de l'un de celle
> de l'autre.

Vous avez retiré mes propos sur tous les témoignages qui convergent.
Pourtant des témoignages sont recevables en justice. Seriez-vous en
train de qualifier de menteurs toutes les personnes qui ont témoigné ?


> Voila ou nos opinions divergent.

Je vais vous dire où nos opinions divergent : quand je fais une
enquête je travaille à charge et à décharge. Vous, vous ne prenez
en compte que les éléments à charge en éludant certains éléments.


> Je maintiens quant a moi que les
> co-auteurs d'un article sont solidairement responsables du contenu
> de cet article, surtout si rien dans l'article ne permet de
> distnguer le travail de l'un de celui de l'autre. Si un auteur
> ne souhaite pas assumer cette responsabilite', il existe des
> solutions : decouper l'article en parties distinctes, signees
> individuellement, retirer sa contribution et n'etre cite' que
> dans les remerciements ou par le biais de references bibliographiques,
> abandonner purement et simplement la publication.

C'est en effet plus clair ainsi, mais cela ne rend pas une autre
méthode impossible. J'ai déjà vu dans des magazines des articles
avec signature commune au début pour des questions de maquette,
alors que chaque auteur n'avait écrit que tel ou tel "bloc".


> D'autre part, le processus de developpement logiciel, quelle que
> soit l'approche choisie (RUP, PLMP, XP, ...) ne comporte
> pas que l'etape de codage elle-meme. Meme pour les tres petits
> projets comme celui-ci, on commence par etudier la faisabilite', le
> design, les methodes a utiliser, etc. Et quand un projet sert de
> support a deux communications et a trois articles, c'est qu'on y
> attache une certaine importance. Etant donne' le contenu de
> l'article du Virus Bulletin (dont Eric Detoisien n'est pas
> co-signataire), et les communiques de Tegam (qui assimilent
> clairement le contenu de ce qui a ete' presente' au BlackHat
> et ce qui a ete' publie' dans le Virus Bulletin), je ne vois pas
> comment on peut pretendre qu'Eyal Dotan, qui est un developpeur
> professionnel, n'a ete' implique' a aucun niveau dans
> le processus de conception de Casper. Ca ne tient tout
> bonnement pas la route.

Il y a une différence entre dire qu'il y a des suites de 5
instructions qui sont de lui (pour un autre trojan non diffusé)
- le fameux droit de citation - et qu'il est l'auteur de Casper.


> Pour ce qui est de la diffusion, j'ai parle' de negligence

Sauf erreur, vous (ou je confonds avec Nicob ?) aviez affirmé
à l'époque des choses plus dures que la simple "négligence".


> (avez-vous remarque' que l'archive est toujours telechargeable
> depuis le site de la conference ?).

Expliquez-moi selon vous comment Tegam peut faire pression sur
E. Detoisien pour qu'il ne diffuse pas Casper.


> Quand une compagnie produisant un anti-virus (ou un firewall
> antiviral, comme vous voudrez) est impliquee a un niveau ou a
> un autre dans le developpement d'un code potentiellement
> malveillant, il lui incombe de garantir la confidentialite'
> du code finalement developpe'. Il en va d'ailleurs de meme
> pour le code collecte' par ces compagnies aupres de sources
> externes.

Vous éludez le droit de citation. Les rares lignes vues dans VB
sont-elles malveillantes ? Casper l'est-il ? Considérez-vous que
JAB de Nicob est malveillant ?


> Mais ce qui me gene le plus dans cette affaire, ce n'est pas
> tant la diffusion d'une PoC (j'y suis par principe plutot
> favorable, y compris pour demontrer des techniques offensives)
> mais le decalage existant entre cette diffusion - dont l'objectif
> est selon moi essentiellement promotionnel - et l'attitude
> jusqu'au boutiste affichee par Tegam vis-a-vis des auteurs
> de malwares.

Là vous rejettez clairement la responsabilité de la diffusion
sur Tegam avec des motivations promotionnelles ? On ne serait
plus du tout au niveau de la "négligence".

Olivier Aichelbaum

Nicob

unread,
Oct 13, 2005, 5:49:35 AM10/13/05
to
On Thu, 13 Oct 2005 11:07:44 +0200, Olivier Aichelbaum wrote:

> Les rares lignes vues dans VB sont-elles malveillantes ? Casper l'est-il
> ? Considérez-vous que JAB de Nicob est malveillant ?

Tiens donc, avoir votre avis sur ces différentes questions serait plus
qu'intéressant ...


Nicob

tweakie

unread,
Oct 13, 2005, 2:36:51 PM10/13/05
to
Olivier Aichelbaum :

> Vous avez retiré mes propos sur tous les témoignages qui convergent.

> Pourtant des témoignages sont recevables en justice. <copie>
> Vous éludez le droit de citation. </copie>

Je sais bien que c'est une manie tres repandue sur Usenet de toujours
tout reduire au simple point de vue juridique, mais ouvrez les yeux :
vous n'etes pas dans un pretoire, vous etes entrain de causer dans un
groupe de discussion. Et a ce que j'en sais, ni ED ni moi ne sommes
accuses de quoi que ce soit.

> Seriez-vous en
> train de qualifier de menteurs toutes les personnes qui ont témoigné ?

Nous ne sommes manifestement pas sur la meme longueur d'ondes. Que ce
soit l'un ou l'autre des 2 auteurs qui ait ecrit telle ou telle partie
de tel ou tel article, presentation ou code source, je n'ai aucun moyen
de le verifier (ni vous non plus, ne vous en deplaise). Mais cela
importe peu, ce n'est pas mon propos.

Au risque de me repeter, moralement, signer en tete d'un article est un
peu comme parapher au bas d'un contrat : cela engage la responsabilite'
de chacun des signataires, et aucune contorsion, provocation ou
diversion ne changera rien a cette dure realite'.

> Je vais vous dire où nos opinions divergent : quand je fais une
> enquête je travaille à charge et à décharge. Vous, vous ne prenez
> en compte que les éléments à charge en éludant certains éléments.

Je souhaiterais autant que possible eviter que cette discussion ne
derive vers une querelle sterile. Je suis toutefois pret a debattre
de nos investigations respectives et de l'objectivite' avec laquelle
nous presentons nos resultats dans un autre forum, si vous y tenez.

> Sauf erreur, vous (ou je confonds avec Nicob ?) aviez affirmé
> à l'époque des choses plus dures que la simple "négligence".

Je crois que la totalite' de mes propos a ce sujet est accessible via
les archives de Google. Il me semble les avoir suffisemment explicite'
dans le present fil de discussion, et je vous laisse seul responsable
de vos interpretations.

>> (avez-vous remarque' que l'archive est toujours telechargeable
>> depuis le site de la conference ?).
>
> Expliquez-moi selon vous comment Tegam peut faire pression sur
> E. Detoisien pour qu'il ne diffuse pas Casper.

Pensez vous que les organisateurs de la conference auraient laisse'
le fichier en ligne si un des auteurs de la communication associee
leur avait envoyee une demande motivee les priant de la retirer ?

> Vous éludez le droit de citation. Les rares lignes vues dans VB
> sont-elles malveillantes ? Casper l'est-il ? Considérez-vous que
> JAB de Nicob est malveillant ?

Mon opinion est qu'un programme n'est jamais malveillant en soi.
C'est l'utilisation que l'on en fait qui peut l'etre. Cela concerne
JAB comme Casper.

> Là vous rejettez clairement la responsabilité de la diffusion
> sur Tegam avec des motivations promotionnelles ? On ne serait
> plus du tout au niveau de la "négligence".

Nuancons : J'attribue a une motivation "promotionnelle" la publication
des articles et les presentations dans des conferences, et a la
negligence la publication du code source complet et compilable
associe'. Est-ce assez clair comme ca ?

Comme il parait probable que nous ne changerons pas nos positions
respectives, je pense que nous pouvons arreter la cette discussion.
Qu'en pensez vous ?

Olivier Aichelbaum

unread,
Oct 13, 2005, 3:01:23 PM10/13/05
to
tweakie wrote:

> Au risque de me repeter, moralement, signer en tete d'un article est un
> peu comme parapher au bas d'un contrat : cela engage la responsabilite'
> de chacun des signataires, et aucune contorsion, provocation ou
> diversion ne changera rien a cette dure realite'.

Signer en tête d'un article cela peut aussi relèver de la maquette,
c'est par exemple le cas dans Pirates Mag' où dans les articles
communs chacun fait sa partie en fonction de sa spécialité (technique,
juridique, etc.). Il ne me viendrait jamais à l'idée de tenir pour
responsable le juriste si le technicien s'est trompé (et inversement).


> Pensez vous que les organisateurs de la conference auraient laisse'
> le fichier en ligne si un des auteurs de la communication associee
> leur avait envoyee une demande motivee les priant de la retirer ?

Que peut-il faire si ce n'est pas son fichier comme il le dit ?

Vous ne m'avez pas répondu : avez-vous contacté les personnes
concernées ou travaillez-vous uniquement à charge, comme un
tribunal qui refuserait d'écouter la défense des accusés ?


> Mon opinion est qu'un programme n'est jamais malveillant en soi.
> C'est l'utilisation que l'on en fait qui peut l'etre. Cela concerne
> JAB comme Casper.

C'est une chose que vous auriez du mettre dans votre article sur
newffr je pense.


> Comme il parait probable que nous ne changerons pas nos positions
> respectives, je pense que nous pouvons arreter la cette discussion.
> Qu'en pensez vous ?

Votre version est peut être la bonne, peut être pas. Avant d'"accuser",
vous devriez vérifier et demander aux intéressés. Quand vous aurez des
preuves concrêtes et plus seulement une extrapolation à charge à me
proposer contactez-moi. Je reste ouvert sur le sujet.

Olivier Aichelbaum

Roland Garcia

unread,
Oct 13, 2005, 4:49:49 PM10/13/05
to
Olivier Aichelbaum a écrit :


> Votre version est peut être la bonne, peut être pas. Avant d'"accuser",
> vous devriez vérifier et demander aux intéressés. Quand vous aurez des
> preuves concrêtes et plus seulement une extrapolation à charge à me
> proposer contactez-moi. Je reste ouvert sur le sujet.

Qu'entendez vous par preuve ?

Moi par exemple j'ai produit comme preuve que je n'étais pas, comme
prétendu, à la solde d'un éditeur antivirus russe votre article "Roland
Garcia ce mystérieux inconnu", et le tribunal m'a parfaitement suivi:

"Non seulement *** n'apporte pas la preuve de ce qu'elle avance — un
compérage entre M. R.G. et un concurrent de ****, cela ne vous rappelle
rien ? — mais les pièces produites tendent à démontrer le contraire":
http://bricablog.net/index.php/2005/07/09/608-ou-les-lettres-de-tegam-sont-fautives-jugement-du-tgi-de-toulouse-en-date-du-21-juin-2005-1ere-partie

Vous devriez relire vos articles.

--
Roland Garcia

Olivier Aichelbaum

unread,
Oct 13, 2005, 5:15:10 PM10/13/05
to
Roland Garcia wrote:
> Olivier Aichelbaum a écrit :
>
>> Votre version est peut être la bonne, peut être pas. Avant d'"accuser",
>> vous devriez vérifier et demander aux intéressés. Quand vous aurez des
>> preuves concrêtes et plus seulement une extrapolation à charge à me
>> proposer contactez-moi. Je reste ouvert sur le sujet.
>
> Qu'entendez vous par preuve ?
>
> Moi par exemple j'ai produit comme preuve que je n'étais pas, comme
> prétendu, à la solde d'un éditeur antivirus russe votre article "Roland
> Garcia ce mystérieux inconnu", et le tribunal m'a parfaitement suivi:

Je suis responsable de mes écrits, pas des vôtres.

Une fois de plus vous venez polluer une discussion avec vos affaires
personnelles.

Olivier Aichelbaum

Roland Garcia

unread,
Oct 13, 2005, 5:17:12 PM10/13/05
to
Roland Garcia a écrit :

> Moi par exemple j'ai produit comme preuve que je n'étais pas, comme
> prétendu, à la solde d'un éditeur antivirus russe votre article "Roland

> Garcia ce mystérieux inconnu"...

... constaté sur le site Web de mon adversaire, j'avais oublié, mais
c'est indiqué dans le jugement.

--
Roland Garcia

Roland Garcia

unread,
Oct 13, 2005, 5:19:18 PM10/13/05
to
Olivier Aichelbaum a écrit :

>> Moi par exemple j'ai produit comme preuve que je n'étais pas, comme
>> prétendu, à la solde d'un éditeur antivirus russe votre article "Roland
>> Garcia ce mystérieux inconnu", et le tribunal m'a parfaitement suivi:
>
> Je suis responsable de mes écrits, pas des vôtres.

Je n'ai jamais écrit d'article dans vos journaux, pas un mot.

--
Roland Garcia

Roland Garcia

unread,
Oct 13, 2005, 5:31:29 PM10/13/05
to
Olivier Aichelbaum a écrit :

> Une fois de plus vous venez polluer une discussion avec vos affaires
> personnelles.

Je voulais illustrer la difficulté d'interpréter une preuve. A
l'évidence le tribunal a vu dans les mêmes pièces, l'opposé de ce que
vous avez dit y voir pendant des années.

--
Roland Garcia

Olivier Aichelbaum

unread,
Oct 13, 2005, 5:36:50 PM10/13/05
to

Le tribunal n'a pas étudié mes pièces mais celles de Tegam.

Olivier Aichelbaum

Roland Garcia

unread,
Oct 13, 2005, 5:41:24 PM10/13/05
to
Olivier Aichelbaum a écrit :

>> Je voulais illustrer la difficulté d'interpréter une preuve. A
>> l'évidence le tribunal a vu dans les mêmes pièces, l'opposé de ce que
>> vous avez dit y voir pendant des années.
>

> Le tribunal n'a pas étudié mes pièces...

Relisez bien le jugement.

Ainsi que vos propres déclarations:
http://groups.google.fr/group/fr.comp.securite.virus/msg/9c4dea7ba9e8ef2c?hl=fr&

--
Roland Garcia

Olivier Aichelbaum

unread,
Oct 13, 2005, 5:44:48 PM10/13/05
to
Roland Garcia wrote:

>> Le tribunal n'a pas étudié mes pièces...
>
> Relisez bien le jugement.
>
> Ainsi que vos propres déclarations:
> http://groups.google.fr/group/fr.comp.securite.virus/msg/9c4dea7ba9e8ef2c?hl=fr&

Je n'ai pas été poursuivi.

Olivier Aichelbaum

Roland Garcia

unread,
Oct 13, 2005, 5:53:07 PM10/13/05
to
Olivier Aichelbaum a écrit :

>> Ainsi que vos propres déclarations:
>> http://groups.google.fr/group/fr.comp.securite.virus/msg/9c4dea7ba9e8ef2c?hl=fr&
>
> Je n'ai pas été poursuivi.

Certes, puisque vous êtes indépendant, euh, distinct.

--
Roland Garcia

tweakie

unread,
Oct 14, 2005, 2:41:09 AM10/14/05
to
Olivier Aichelbaum :

> Signer en tête d'un article cela peut aussi relèver de la maquette, [...]

Dommage que des problemes de maquette aient oblige' les deux ED a etre
co-auteurs sur le meme sujet a la fois dans MISC, au Blackhat *et* aux
JSSI.

A ce rythme, c'est au Salon du modelisme qu'ils auraient du presenter
leur truc.

Je suis pret a travailler a decharge, pas a considerer des hypotheses
abracadabrantes. L'objectivite' est aussi a ce prix.

EOT pour moi dans ce forum. On est definitivement trop hors charte.

--
Tweakie eikaewt at hotmail point com

Olivier Aichelbaum

unread,
Oct 14, 2005, 3:35:47 AM10/14/05
to
tweakie wrote:

> Olivier Aichelbaum :
>
>>Signer en tête d'un article cela peut aussi relèver de la maquette, [...]
>
> Dommage que des problemes de maquette aient oblige' les deux ED a etre
> co-auteurs sur le meme sujet a la fois dans MISC, au Blackhat *et* aux
> JSSI.
>
> A ce rythme, c'est au Salon du modelisme qu'ils auraient du presenter
> leur truc.

> Je suis pret a travailler a decharge, pas a considerer des hypotheses
> abracadabrantes. L'objectivite' est aussi a ce prix.

Quand on parle de la maquette en édition, on parle de mise en page,
pas de modélisme.

Avant d'envisager des hypothèses, il faudrait que vous commenciez
à vous intéresser aux faits de base sans rien éluder.

Vous n'avez toujours pas répondu : avez-vous contacté les personnes
concernées pour en savoir plus sur la réalisation de leurs textes ?
Et oralement aux présentations, ça s'est passé comment d'ailleurs ?

Olivier Aichelbaum

Nicob

unread,
Oct 14, 2005, 3:50:04 AM10/14/05
to
On Fri, 14 Oct 2005 09:35:47 +0200, Olivier Aichelbaum wrote:

> Avant d'envisager des hypothèses, il faudrait que vous commenciez
> à vous intéresser aux faits de base sans rien éluder.

Quel fait a-t-il éludé ?


Nicob

Olivier Aichelbaum

unread,
Oct 14, 2005, 4:26:10 AM10/14/05
to
Nicob wrote:

Les témoignages concordants par exemple.

Et il devrait aussi dire comment ça s'est passé aux présentations
publiques...

--
Olivier Aichelbaum

Message has been deleted

Roland Garcia

unread,
Oct 14, 2005, 7:35:49 AM10/14/05
to
Olivier Aichelbaum a écrit :

> Nicob wrote:
>
>> On Fri, 14 Oct 2005 09:35:47 +0200, Olivier Aichelbaum wrote:
>>
>>> Avant d'envisager des hypothèses, il faudrait que vous commenciez
>>> à vous intéresser aux faits de base sans rien éluder.
>>
>>
>> Quel fait a-t-il éludé ?
>
>
> Les témoignages concordants par exemple.

Un témoignage n'est pas un fait de base.

> Et il devrait aussi dire comment ça s'est passé aux présentations
> publiques...

Une circonstance n'est pas un fait de base.

--
Roland Garcia

Tweakie

unread,
Oct 14, 2005, 2:23:37 PM10/14/05
to
Olivier Aichelbaum wrote:

> Ca aurait été un communiqué Tegam, on aurait déjà eu un troll. Mais
> là c'est un communiqué F-Secure :

Il y a un certain nombre de differences entre le communique' de f-secure
et l'"affaire Goodluck". Puisqu'elles semblent vous echapper, en voici
quelques unes :

- Le communique' de f-secure n'a pas ete' declare' "confidentiel" par ses
auteurs avant d'etre envoye' a quelques institutions et medias
institutionnels tries sur le volet. N'importe quel clampin peut ainsi
prendre connaissance de son contenu et, le cas echeant le critiquer ou le
corriger.

- Le communique' publie' sur le site de f-secure ne contient pas le terme
invisible, mais le terme "stealth", terme communement employe' pour
designer les logiciels malveillants qui mettent en oeuvre des techniques
de dissimulation. Je n'y ai pas trouve' le texte en Francais sur ce site.
Est-ce f-secure qui est responsable de la traduction ?

- Il ne s'agit pas ici d'une "etude prospective" mais d'un compte rendu
portant sur un programme malveillant qui s'est effectivement propage'. Et

oui, il est bien evidemment edite' a des fins (ouvertement) commerciales.

- Par consequent, F-secure n'a donc pas eu besoin de concevoir

a-posteriori, ni de laisser diffuser via le site d'une conference
judicieusement intitulee "blackhat", un cheval de troie correspondant a
celui decrit dans le communique'.


> Un ver actif invisible qui utilise les technologies de rootkit peut
> rester indétectable par un anti-virus ordinaire."

Vous qui etes si tatillon sur tout ce qui touche a l'integrite' des
citations et sur les "coupes malhonnetes", vous auriez pu recopier par la
meme occasion les deux phrases suivantes, qui nuancent cette affirmation.

A part l'anecdotique Myfip, ce qu'il faut a mon avis retenir de ce
communique' c'est surtout que les antivirus a signatures integrent petit a
petit des techniques generiques afin de complementer la detection a base
de signatures. Et c'est tant mieux.

--
Tweakie

--
0% de pub! Que du bonheur et des vrais adhérents !
Vous aussi inscrivez-vous sans plus tarder!!
Message posté à partir de http://www.gyptis.org, BBS actif depuis 1995.

Olivier Aichelbaum

unread,
Oct 14, 2005, 12:55:10 PM10/14/05
to
Roland Garcia wrote:

>> Les témoignages concordants par exemple.
>
> Un témoignage n'est pas un fait de base.
>
>> Et il devrait aussi dire comment ça s'est passé aux présentations
>> publiques...
>
> Une circonstance n'est pas un fait de base.

Il y a un tas de faits qui se sont déroulés à cette conférence, et des
témoins. Pourquoi ne pas en parler ? Car cela ne colle pas au portrait
que certains veulent dresser de E. Dotan ?

Autre exemple : vous voyez les noms de fichiers là ?
http://www.blackhat.com/.../bh-eu-04-detoisien/bh-eu-04-detoisien-up.pdf
http://www.blackhat.com/.../bh-eu-04-detoisien/bh-eu-04-detoisien-demo.zip
Ils n'ont pas "Dotan" dans le titre. Seulement "Detoisien".
Encore un fait à décharge, qui a volontairement été éludé.

Quand Tweakie aura enfin fait une enquête objective, qu'il aura des
preuves de ses accusations (qui font passer aussi E. Detoisien pour
un menteur au passage), qu'il me recontacte et il me convaincra.

Olivier Aichelbaum

Roland Garcia

unread,
Oct 14, 2005, 1:03:42 PM10/14/05
to
Olivier Aichelbaum a écrit :

> Il y a un tas de faits qui se sont déroulés à cette conférence

J'espère bien.

--
Roland Garcia

Message has been deleted
Message has been deleted

Roland Garcia

unread,
Oct 14, 2005, 1:19:02 PM10/14/05
to
Pierre VG a écrit :

> Roland Garcia a joyeusement tapoté (news:434FE4EE...@wanadoo.fr)
> dans fr.comp.securite.virus:
>
>>J'espère bien.
>
> celle où il y avait du poisson à midi ?

A vrai dire je ne sais pas trop de quoi il se cause...

Tiens je m'en vais consulter la météo, nous pourrons causer de la pluie
et du beau temps ;-)

--
Roland Garcia

Ewa (siostra Ani) N.

unread,
Oct 14, 2005, 5:56:16 PM10/14/05
to

Le vendredi 14 octobre 2005 à 08:41:09, dans <dinju5$5rn$1...@news-intl.excite.it> vous écriviez :

> Olivier Aichelbaum :

>> Signer en tête d'un article cela peut aussi relèver de la maquette, [...]

> Dommage que des problemes de maquette aient oblige' les deux ED a etre
> co-auteurs sur le meme sujet a la fois dans MISC, au Blackhat *et* aux
> JSSI.

> A ce rythme, c'est au Salon du modelisme qu'ils auraient du presenter
> leur truc.

> Je suis pret a travailler a decharge, pas a considerer des hypotheses
> abracadabrantes. L'objectivite' est aussi a ce prix.

> EOT pour moi dans ce forum. On est definitivement trop hors charte.


pas la peine de s'entêter, M. Aichelbaum estime visiblement que Eyal
Dotan a signé ses articles à l'insu de son plein gré.

--
Niesz

Olivier Aichelbaum

unread,
Oct 14, 2005, 6:02:48 PM10/14/05
to
Ewa (siostra Ani) N. wrote:

> pas la peine de s'entêter, M. Aichelbaum estime visiblement que Eyal
> Dotan a signé ses articles à l'insu de son plein gré.

Si vous êtiez plus honnête, vous ne déformeriez pas mes propos.

Olivier Aichelbaum

Ewa (siostra Ani) N.

unread,
Oct 14, 2005, 6:18:47 PM10/14/05
to

Le samedi 15 octobre 2005 à 00:02:48, dans <43502ad7$0$4356$626a...@news.free.fr> vous écriviez :

...et vous ne me "refuseriez pas un rendez-vous", n'est-ce pas ? sniif

--
Niesz

Noshi

unread,
Oct 15, 2005, 11:41:04 AM10/15/05
to
On Sat, 15 Oct 2005 00:18:47 +0200, Ewa (siostra Ani) N. wrote:

> ...et vous ne me "refuseriez pas un rendez-vous", n'est-ce pas ? sniif

Moi j'accepte ;)

--
Noshi
et vive le HS ;)

Reply all
Reply to author
Forward
Message has been deleted
0 new messages