le 14/03/2005 23:46
En 2001, Eyal Dotan, directeur R&D de Tégam ecrit un rapport confidentiel,
desiné à être diffusé auprès de divers ministères francais, d'Interpol
et de diverses grandes entreprises. Ce rapport décrit une nouvelle
génération de chevaux de troie, "évolutifs et furtifs", susceptibles,
selon l'auteur, d'échapper aux produits antivirus classiques. En
parallèle, une campagne marketing est organisée par Tegam auprès des
médias francais pour faire connaitre l'existence de cette "Etude
prospective", et un article parait à ce sujet dans le Figaro. France
Inter et Europe 1 relaient eux-aussi cette information. Le cheval
de Troie insaisissable, nommé Goodluck par son inventeur, devient
une star médiatique, et ce malgré son caractère "prospectif".
Des editeurs de produits anti-viraux et des experts indépendants
sont alors contraints de mettre les choses au point : il n'existe
pas, à l'epoque des faits, de cheval de Troie nommé "Goodluck" et
correspondant à la description proposée par Tegam. Reste que
l'opération marketing a marqué les esprits : GoodLuck, le "cheval
de Troie insaisissable", est dorénavant mentionné comme un "hoax",
un canular, sur de nombreux sites consacrés à la sécurité
informatique, au grand damn de Tégam.
http://www.secuser.com/hoax/2002/goodluck.htm
http://www.centraliens.net/webinfo/hoax/goodluck.html
http://www.journaldunet.com/printer/020208_blanchard.shtml
Recherche de crédibilité
Tégam avait tout d'abord annoncé que le rapport était confidentiel afin
de ne pas donner de mauvaises idées aux concepteurs de chevaux de Troie.
Suite au fiasco de son opération marketing et à l'incrédulité affichée
par les médias spécialisés, Tégam décide de changer de stratégie : le
contenu technique du rapport "Goodluck" sera diffusé le plus largement
possible, et servira de vitrine a son département R&D.
Le Virus Bulletin est choisi pour diffuser une première version condensée
du rapport auprès des professionnels. L'article parait dans le numero de
Juin 2003 sous le titre "The Scalable Stealth Trojan : Un Upcoming Danger"
(le cheval de Troie évolutif et furtif, un danger imminent) :
http://www.virusbtn.com/magazine/archives/200306/
J'ai posté une courte description du contenu de l'article (qui n'est
accessible qu'aux abonnés du Virus Bulletin) ici :
http://groups.google.com/groups?selm=20031117192659.D32521%40areba.vasb&output=gplain
Les méthodes décrites dans cet article (essentiellement un ensemble
de techniques déja connues - voir par exemple www.redkod.org ou le
numero 4 du périodique Thehackademy manuel (en francais) - et utilisées,
individuellement, dans certains malwares déja diffusés) sont ensuite
publiées en francais par Eyal Dotan et Eric Detoisien, alias Valgasu,
un expert appartenant a l'équipe "rstack" dans les numeros 10 et 11
du magazine francais MISC. Ces mêmes méthodes servent de base a deux
présentations techniques : l'une d'entre elle en francais à la
conférence JSSI 2004, l'autre en anglais à la conference Blackhat
Europe, s'étant deroulée a Amsterdam.
http://www.ossir.org/jssi/jssi2004/index.shtml
http://www.blackhat.com/html/bh-europe-04/bh-europe-04-index.html
Contradictions et déontologie bafouée
Il n'y a tout compte fait rien de bien nouveau dans les travaux d'Eyal
Dotan et d'Eric Detoisien (voir par exemple le site www.iamaphex.net),
mais on ne peut pas reprocher à une entreprise dont le business est la
sécurité informatique de faire de faire de la veille technologique et
de présenter une synthèse des techniques utilisées par les concepteurs
de chevaux de Troie. La ou la methode devient discutable, c'est quand
un cheval de Troie open-source, basé sur les techniques presentées par
Dotan et Detoisien, est distribué publiquement. En effet, accompagnant
leur présentation au Blackhat 2004, les deux auteurs distribuent un
cheval de Troie, démontrant la faisabilité de leur concept. A cette
occasion, le nom de GoodLuck, associé à trop de controverses, a été
abandonné au profit de celui de Casper. Ce cheval de Troie, furtif et
- potentiellement - évolutif est en effet disponible sur le site web
de la conference blackhat et sur la page web personnelle de l'un
de ses concepteurs :
http://www.blackhat.com/presentations/bh-europe-04/bh-eu-04-detoisien/bh-eu-04-detoisien-demo.zip
http://valgasu.rstack.org/casper/
La diffusion de ce cheval de Troie est une première : la rumeur selon
laquelle les virus et chevaux de Troie seraient produits et diffusés
par les éditeurs d'AV a la peau dure, et ceux-ci font tout pour que
l'on ne puisse pas les en accuser. Dans ce domaine, une règle de base
du code de déontologie est donc de de pas contribuer à produire ou à
distribuer des virus. En l'occurence, Tegam va plus loin, et risque
fort d'irriter ses concurents : les vers et chevaux de Troie
open-source posent en effet un problème majeur aux antivirus à
signatures (c'est a dire à la quasi-totalité des antivirus du marché,
à l'exception de Tegam lui-même et de produits comme "Invircible").
En effet, une modification mineure du code source de tels malware
est susceptible d'entrainer de nombreux changements au sein du code
compilé, il est donc aisé de produire, à partir d'un unique code
source, un ensemble de variantes qui devront être ajoutées une à une
à la base de signature. Voir par exemple les chevaux de Troie
Agobot/phtbot et Sdbot, dont on ne compte plus les variantes.
Cette diffusion est d'autant plus incompréhensible qu'elle contredit
complètement la position officielle affichée jusqu'alors par Tegam :
- le rapport Goodluck était parait-il tenu confidentiel pour éviter
qu'il ne donne de mauvaises idées aux concepteurs de virus ;
- Tégam a une position trés extrême vis a vis des auteurs et des
diffuseurs de virus, n'hésitant pas à traiter ceux-ci de "terroristes"
et de "psychopathes", comme le prouve cet extrait issu d'un email
envoyé à l'ensemble des abonnés de leur mailing-list à l'occasion
de l'arrestation de l'auteur de Sasser :
"Il est temps que les autorités réagissent et considèrent les auteurs
et diffuseurs de virus comme des terroristes, sinon ces psychopathes
continueront à créer et divulguer leurs programmes malveillants
avec une surenchère dans les dégats qu'ils provoqueront en les
propageant sur les ordinateurs dans le monde entier."
Alors, à votre avis, quelle serait la réaction des responsables de
Tégam si le code de "Casper" était intégré aux vers/chevaux de Troie
open-source agobot ou sdbot ? Pourquoi, si l'objectif était juste de
produire une preuve de l'efficacité de leur technique dans le cadre
du contournement de firewall personnel/firewall reseau/proxy, les
auteurs de Casper ne se sont ils pas contentés de diffuser un
"leaktest" comme cela se fait d'habitude (voir par exemple le site
http://www.firewallleaktester.com/) ?
le 31/03/2005 23:03
Un echange interessant, opposant nicob a Olivier Aichelbaum vient de se derouler au sujet de Casper/Goodluck sur la liste du "Virus Informatique". Bien que cette discussion n'apprenne rien de nouveau en ce qui concerne Casper/Goodluck, elle apporte un eclairage interessant sur les methodes d'investigation employees par Olivier Aichelbaum dans les affaires se rapportant aux activites de Tegam et de ses employes.
En effet, Olivier s'oppose a mon interpretation des faits (qui est similaire a celle de Nicob). Sur quels elements objectifs se base-t-il ? Sur les reponses que lui auraient fait Eric Detoisien et Eyal Dotan. En substance, il semblerait que ceux-ci s'accordent sur le fait que c'est Eric Detoisien qui a programme' l'integralite' de Casper.
Rappelons toutefois que :
- Tegam annonce sur son site web, a propos du rapport Goodluck (http://:www.viguard.com/fr/bestof_research.php) :
"rapport sur la faisabilité de chevaux de Troie rédigé par Tegam et publié dans Virus Bulletin, Misc, et présenté à la JSSI et la BlackHat."
- Sur le site de la conference Blackhat Europe, Casper est distribue' dans une archive .zip en tant que "materiel" (proof of concept) relatif a la presentation de Detoisien et Dotan.
- Les extraits de code presents dans les articles parus dans MISC sur les techniques de hooking et d'injection signes Detoisien et Dotan correspondent a Casper aux noms de fonctions pres.
Entre un ensemble de faits objectifs, concordants, publiquement disponibles et la declaration inverifiable d'un employe' de chez Tegam, Olivier Aichelbaum a fait son choix.
Cerise sur le gateau, les transparents presentes au blackhat contiennent des extraits de librairies de Windows desassemblees. Un comble !
Bientot, en exclusivite' mondiale, d'autres elements (verifiables, publiquement consultables) permettant d'apprecier a leur juste valeur l'objectivite' et la neutralite' d'Olivier Aichelbaum en ce qui concerne les affaires impliquant Tegam. Stay tuned...
[ Ce Message a été édité par: tweakie le 2006-01-04 22:49 ]
le 18/11/2005 11:24
---
Subject: Photos de GT
Content-Transfer-Encoding: 7bit
To: aenlever.acbm.avirer@acbm.com
From: Tweakie
X-Originating-Ip: [XXX.XX.X.XXX]
Content-Type: text/plain
Mime-Version: 1.0
Reply-To: aenlever.tweakie.avirer@mail.nu
Content-Disposition: inline
Date: Thu, 17 Nov 2005 14:30:33 -0800 (PST)
X-Mailer: MIME-tools 5.41 (Entity 5.404)
Bonjour,
Il me semble que vous avez propose' a plusieurs contributeurs de
fcsv de venir consulter les pieces vous autorisant a publier les photos
de Guillaume Tena dans le numero 26 du "Virus Informatique". Je suis
moi aussi curieux de savoir ce qu'il en est reellement (comme ca, je
ne dirai pas de betises sur le sujet).
Cette proposition tiendrait-t-elle aussi pour moi ?
Cordialement,
--
Tweakie
___
le 04/01/2006 03:15
Résumons :
Contrairement à vous, lorsque je fais une enquête c'est à charge et à décharge : j'interroge les différentes personnes, je laisse à l'"accusé" la possiblité de se défendre et je demande aussi aux témoins ce qu'ils ont vu etc. Je ne me base donc pas uniquement sur les déclarations d'un employé de Tegam contrairement à ce que vous prétendez. Je vous ai d'ailleurs notamment fait remarquer qu'E. Detoisien confirme les propos d'E. Dotan. J'ai même contacté le rédacteur en chef de Misc, etc. Dans votre guerre personnelle contre E. Dotan, seriez-vous en train de traiter de menteuses toutes ces autres personnes ? De plus, le chemin du fichier sur le serveur contient uniquement la chaine "Detoisien", mais pas "Dotan". Et Microsoft ne conteste pas que Dotan a une licence légale de Windows XP. Bref, des éléments que vous persistez à éluder car ils ne vont pas dans le sens de votre thèse.
Attention, ne m'attribuez pas encore mensongèrement des propos qui ne sont pas les miens ! Je ne dis pas que M. Dotan est innocent, je dis seulement que je n'ai pas encore d'avis tranché sur la question, car il ne faut pas confondre extrapolations avec preuves. Je considère qu'il faut encore travailler sur cette enquête.
PS Bien sûr, compte tenu de vos trop nombreuses déclarations mensongères à mon égard, planqué derrière votre pseudonyme, je ne donnerai aucune suite à vos demandes de RDV anonyme. Par contre, j'ai proposé à Guillermito un RDV public, en présence de témoins.
le 04/01/2006 21:16
| Quote: |
|
Je ne crois pas avoir trahi le sens de votre message. Qui plus est, je vous ai invite' a venir exposer votre version des faits en vous garantissant que vous ne seriez pas censure'. Je suis heureux que vous vous y soyez enfin decide'.
Voici ce qui etait passe' dans la liste du "virus informatique" (je copie les elements saillants ici histoire que tout le monde puisse juger):
Nicob
> Au fait, je tenais à rappeller que Tegam est le seul éditeur AV, à ma
> connaissance, à avoir diffusé des malwares (en l'occurence 'Casper').
> Qui plus est sous forme de code source (et on a vu les problèmes causés
> par Agobot & co).
Olivier
Suite à ton accusation, j'ai mené ma petite enquête. J'ai donc contacté
Eric Detoisien et Eyal Dotan. Tout le monde me dit la même chose : Eric
est le seul auteur de Casper, et c'est lui qui le diffuse sur son site.
Pas Tegam, ni son personnel.
Merci d'être venu ici pour nous faire la démonstration des diffamations
lancées jour après jour contre Tegam par des professionnels d'en face
(quand ce n'est pas contre les journalistes ACBM qui vous ont démasqués)
Ce a quoi Nicob a replique' :
Bon, me voilà obligé de prouver ce que j'avance, sinon certains vont
réellement croire que je fais partie d'un complot anti-Tegam ... Allez,
zou, c'est parti !
Au fait ... quand je parle de 'Casper', je fais référence à ce fichier :
http://valgasu.rstack.org/casper/tools/casper.zip
Tout d'abord, la page 'http://www.viguard.com/fr/bestof_research.php'
indique ceci : "[...] rapport sur la faisabilité de chevaux de Troie
rédigé par Tegam et publié dans Virus Bulletin, Misc, et présenté à la
JSSI et la BlackHat."
Donc, on cherche un rapport fait par Tegam sur les chevaux de Troie et
publié dans ces différents médias. Voilà ce que mes recherches ont
donné :
- MISC #10 (Nov/Dec 2003) :
Titre : "Cheval de Troie furtif sous Windows : mécanisme
d'injection de code"
Auteurs : E. Dotan (email en @viguard.info) & E. Detoisien
"Cet article introduit une série en plusieurs parties dans
laquelle nous montrons différentes techniques [...] qui [...]
donnent un cheval de Troie hautement furtif [...]"
- MISC #11 (Jan/Fev 2004) :
Titre : "Cheval de Troie furtif sous Windows : du bon usage de
l'API Hooking"
Auteurs : E. Dotan (email en @viguard.info) & E. Detoisien
"Dans l'article précédent, [...]"
Note 1 : je ne parle que des deux premiers articles de cette série de 3,
le troisième ne portant pas la signature d'un employé de Tegam.
Note 2 : ces articles sont plutôt théoriques, avec tout de même quelques
unes des lignes de code "importantes" (les plus cruciales).
Parmi ces extraits de code, on trouvera des similitudes frappantes
(appel de fonctions avec *exactement* le même nom pour chacun des
paramètres) avec le code de Casper. Un exemple : la page 60 de MISC 11
(deuxième colonne) et les lignes 41 à 49 du fichier C++ inclus dans le
ZIP de Casper et nommé 'CASPER.CPP'.
Prenons maintenant la présentation à "Blackhat Europe 04" (en Mai 2004,
donc quelques mois après les articles de MISC). Nous avons trois URL se
rapportant à cette présentation : les bios, les slides et le code
utilisé pour la démo. Voici les liens :
Bios :
http://www.blackhat.com/html/bh-europe-04/bh-europe-04-speakers.html#Detoisien
Slides de la conférence :
http://www.blackhat.com/presentations/bh-europe-04/bh-eu-04-detoisien/bh-eu-04-detoisien-up.pdf
Code source utilisé pour la démo :
http://www.blackhat.com/presentations/bh-europe-04/bh-eu-04-detoisien/bh-eu-04-detoisien-demo.zip
Dans les bios, on a bien E. Detoisien et E. Dotan (apparaissant en tant
qu'employé de Tegam : "[...] heading the research & development
department of ViGUARD at TEGAM"). Dans les slides (le #1 et le #43) E.
Dotan et Tegam apparaissent. Et surprise, slide 33, on a ceci :
Final Demo
CASPER THE FRIENDLY TROJAN
He really wants to be your friend
Jetons donc un oeil au code de cette "démo finale" : si on le dézippe,
on obtient 5 répertoires, dont "Mechant Trojan" et "Mechant PHP". Si on
décompresse le ZIP de Casper, on obtient un spooky.zip (côté serveur) et
un nouveau casper.zip (la partie client). Comparons :
- le contenu de casper.zip est *exactement* identique au répertoire
"Mechant Trojan" de la démo
- le contenu de spooky.zip est *quasiment* (à un fichier près) identique
au répertoire "Mechant PHP" de la démo
Je considère donc comme prouvé comme E. Dotan, en tant qu'employé de
Tegam, a écrit des articles et fait des conférences sur les chevaux de
Troie furtifs. Et qu'à l'occasion de certains de ces articles et
conférences, le code de Casper a été *diffusé* en partie (dans MISC,
accompagné d'explications théoriques) ou en totalité (à Blackhat Europe
04, sous forme de code-source fonctionnel).
CQFD !
Suivi de :
Olivier:
Eric Detoisien m'a écrit :
"Je suis l'auteur de Casper et c'est moi qui l'ai mis à disposition sur mon site."
Eyal Dotan m'a écrit :
"Pour ce qui est du "proof of concept" Casper, je n'y ai pas participé"
| Quote: |
(...) Je ne me base donc pas uniquement sur les déclarations d'un employé de Tegam contrairement à ce que vous prétendez. Je vous ai d'ailleurs notamment fait remarquer qu'E. Detoisien confirme les propos d'E. Dotan. |
Que lisez vous au-dessus dans mon message ?
"Sur quels elements objectifs base-t-il sa conviction ? Sur les reponses que lui auraient fait Eric Detoisien et Eyal Dotan. En substance, il semblerait que ceux-ci s'accordent sur le fait que c'est Eric Detoisien qui a programme' l'integralite' de Casper."
| Quote: |
|
Moi, j'ai contacte' ma belle-soeur. Malheureusement, elle est dans la meme condition que le rerac'chef de Misc : toutes les informations qu'elle aurait pu avoir sur le sujet proviennent necessairement de Detoisien ou de Dotan, donc elle est incapable d'apporter une once d'information supplementaire. Redondance, ca s'appelle. C'est pour ca que le "temoignage" du redac'chef de misc me parait negligeable.
| Quote: |
|
Il n'y a pas de guerre personnelle. Je ne me bats que contre des gens que j'estime.
| Quote: |
De plus, le chemin du fichier sur le serveur contient uniquement la chaine "Detoisien", mais pas "Dotan". |
Poussons un peu votre raisonnement absurde : il contient aussi le mot "blackhat". Ca veut dire que Detoisien est un blackhat ? Vous n'avez jamais entendu le terme "presenting author" ? Apprennez donc que lorsque plusieurs auteurs s'associent pour preparer une communication (ce qui est - de loin - le cas le plus frequent) seul un d'entre eux va presenter celle-ci oralement, pas forcement le principal contributeur, d'ailleurs.
Bref, vous tirez des conclusions erronnees d'un element completement anecdotique.
| Quote: |
|
Vous etiez au proces en appel de Guillermito, il me semble. L'avocate representant Tegam a-t-elle accorde' une quelconque importance a la possession de la license dans le cadre de l'analyse par desassemblage ? Non. Elle s'est bornee a des declarations du type "on ne devrait pas avoir le droit de toucher a un seul cheveu d'un logiciel". Tegam, par le truchement de son conseil, s'oppose totalement a l'analyse par desassemblage de son logiciel (lisez leur contrat de license si vous avez un doute). Mais ca ne les gene pas de le pratiquer sur des logiciels tiers. Une hypocrisie supplementaire.
| Quote: |
|
Je prefere poster un lien vers notre discussion sur usenet histoire que chacun puisse se faire une idee sur nos positions respectives :
http://groups.google.com/group/fr.comp.securite.virus/browse_thread/thread/67e9e39a99af3414/60df646e40bf9960#60df646e40bf9960
| Quote: |
|
le 04/01/2006 22:18
Bref, quand vous cesserez de me prêter pour biaiser le débat des idées qui ne sont pas les miennes ou, au contraire, de censurer des propos que j'ai tenus (cf. ma question sur [LVI] où je demandais à Nicob quels sont les autres malwares qu'il accuse Tegam d'avoir diffusés), cette discussion aura un sens.
le 04/01/2006 22:54
| Quote: |
|
J'ai corrige'. Vous preferez la nouvelle version ?
| Quote: |
|
Revoyez votre definition de la censure. Votre question a nicob n'etait pas directement liee a cette affaire Casper/Goodluck. Je ne cite que les passages pertinents, et je n'envisage pas de recopier l'integralite' des messages de [LVI] ici.
Allez, juste une citation de Tegam empruntee a Maxime Ritter, pour finir :
http://www.mag-securs.com/article.php3?id_article=1892 :
« Cependant, TEGAM International refuse tout contact et toute collaboration
directe ou indirecte venant de la part dauteurs de virus. »
le 04/01/2006 23:49
| Quote: |
J'ai corrige'. Vous preferez la nouvelle version ? |
Non, avec mes propos que vous sortez de leur contexte etc vous me prêtez toujours dans cette page plusieurs idées qui sont contraires aux miennes.
| Quote: |
Revoyez votre definition de la censure. Votre question a nicob n'etait pas directement liee a cette affaire Casper/Goodluck. |
Cette question fait suite à l'accusation lancée par Nicob sur LVI et qui a ammené la discussion sur l'affaire Casper/Goodluck dont vous parlez plus haut. Quand je parlais de diffamation, c'est par rapport aux autres noms de virus qui ne sont jamais venus, pas par rapport à Casper spécifiquement, contrairement à ce qu'un lecteur pourrait croire en lisant uniquement les extraits que vous avez recopiés.
[ Ce Message a été édité par: oa le 2006-01-04 23:49 ]
le 05/01/2006 00:09
| Quote: |
|
Soit. Grace a vos eclairantes interventions, je crois les lecteurs auront compris que n'avez pas une opinion definitive sur le sujet (Casper/Goodluck), que vous souhaitez toutefois l'exprimer, mais en evitant de donner quelque precisions que ce soit si ce n'est que vous etes en desaccord avec moi quand je dis que je ne suis pas d'accord avec vous.
C'est forcement beaucoup plus comprehensible comme ca.
| Quote: |
Quand je parlais de diffamation, c'est par rapport aux autres noms de virus qui ne sont jamais venus, pas par rapport à Casper spécifiquement, contrairement à ce qu'un lecteur pourrait croire en lisant uniquement les extraits que vous avez recopiés. |
Eh ben. Vous lui en faites dire, des choses, a un pluriel, vous. Mais je crains que les lecteurs de ce forum ne mettent pas autant de sophistication dans ce type de capillotractation. Ni moi non plus, d'ailleurs.
le 05/01/2006 00:33
| Quote: |
Soit. Grace a vos eclairantes interventions, je crois les lecteurs auront compris que n'avez pas une opinion definitive sur le sujet (Casper/Goodluck), que vous souhaitez toutefois l'exprimer, mais en evitant de donner quelque precisions que ce soit si ce n'est que vous etes en desaccord avec moi quand je dis que je ne suis pas d'accord avec vous. C'est forcement beaucoup plus comprehensible comme ca. |
Je vous ai simplement dit qu'il ne fallait pas confondre extrapolations et preuves, et que je devais finir mon énquête avant d'avoir un avis arrêté.
A propos, vous n'avez toujours pas répondu à ma question : selon vous E. Detoisien serait un menteur quand il dit : "Je suis l'auteur de Casper et c'est moi qui l'ai mis à disposition sur mon site" ?
le 05/01/2006 01:13
| Quote: |
|
Et bien finissez la, alors. On ne met pas 12 ans pour se faire une idee sur un sujet comme celui-ci, tout de meme!
| Quote: |
|
Je pense :
- Qu'il elude le fait que le developpement logiciel ne se limite pas a l'criture du code. Ce que tout developpeur devrait pourtant savoir. Et c'est en ce sens que j'interprete les declarations de Tegam qui assimilent Casper et Goodluck.
- Que le probleme ne vient pas tant de la diffusion de Casper sur le site d'E. Detoisien que de sa publication sur le site de la conference BlackHat comme annexe d'une presentation co-signee par Detoisien et Dotan.
le 05/01/2006 01:51
| Quote: |
Et bien finissez la, alors. On ne met pas 12 ans pour se faire une idee sur un sujet comme celui-ci, tout de meme! |
Avant que je puisse enquêter de manière sereine, il me faut trouver un emploi pour payer loyer et nouriture de mon foyer (très difficile vu que certaines personnes diffusent, vous par exemple, de fausses informations sur mon compte). Ensuite, contrairement à vous, je travaille à charge et à décharge, ce qui prend deux fois plus de temps. Enfin, contrairement à vous encore, mon enquête ne se limite pas à Tegam mais aussi aux personnes en face.
| Quote: |
Je pense : |
Possible. Vous ne faites donc aucune différence entre deux lignes de codes isolées et un "gros" programme complet ?
| Quote: |
- Que le probleme ne vient pas tant de la diffusion de Casper sur le site d'E. Detoisien que de sa publication sur le site de la conference BlackHat comme annexe d'une presentation co-signee par Detoisien et Dotan. |
Lorsqu'on veut faire un travail objectif, on doit travailler à décharge, c'est à dire aussi étudier l'option inverse, ce que vous refusez de faire. Ainsi, je vous ai déjà expliqué qu'il arrive que des signatures soient mises en commun pour un article alors qu'en réalité les parties écrites sont disjointes (chez ACBM c'était le cas en général de mon temps). J'en reviens à ce niveau au "chemin" du fichier sur le serveur, qui ne contient pas "Dotan".
le 05/01/2006 23:46
> Ensuite, contrairement à vous, je travaille à charge et à
> décharge, ce qui prend deux fois plus de temps. Enfin,
> contrairement à vous encore, mon enquête ne se limite pas à
> Tegam mais aussi aux personnes en face.
Voyez ces deux "contrairement a vous" ? Et ben c'est exactement ce que vous me repprochez : vous m'attribuez une attitude que je n'ai pas. Que savez vous des elements dont j'ai decide' de ne pas parler parce que j'ai justement trouve' des elements convaincants a decharge ? Rien, et pour cause. Vous preferez affabuler publiquement sur mon compte, en profitant de mon anonymat sachant que celui-ci est incompatible avec un recours legal. C'est bas.
> Possible. Vous ne faites donc aucune différence entre deux
> lignes de codes isolées et un "gros" programme complet ?
Ca n'est pas de ca que je vous parle, c'est meme l'inverse. Quand on developpe un logiciel, on commence a decrire les fonctionnalites recquises (specifications), puis on verifie que c'est realisable avec les ressources disponibles (faisabilite') on determine la methode a utiliser pour parvenir au but recherche' (architecture/conception), on ecrit le code (production), on le teste, puis on le maintient.
Dans le cas d'un PoC destine' a etre presente' a une conference, le cycle est reduit (architecture, faisabilite', maintenance peuvent etre zappes) mais ce sont les premieres etapes (specifications, conception) les plus importantes, car elles determinent l'element innovant qui sera mis en avant lors de la conference et la maniere de l'implementer. Le codage en lui-meme est essentiel, pas forcement facile, mais ca reste de la basse besogne. Le rapport "goodluck" correspond pile-poil aux premiers elements (d'apres ce qui en a ete publie' dans le Virus Bulletin et d'apres ce qu'en dit le site de Tegam). Il definit les specifications du trojan et comment les mettre en oeuvre. Voila pourquoi l'implication d'Eyal Dotan est evidente.
> Ainsi, je vous ai déjà expliqué qu'il arrive que des
> signatures soient mises en commun pour un article alors
> qu'en réalité les parties écrites sont disjointes (chez
> ACBM c'était le cas en général de mon temps).
Dois-je encore vous rappeler que Dotan et Detoisien n'ont pas seulement publie' deux articles en commun dans MISC mais qu'ils ont aussi presente' sous leurs deux noms les memes elements a deux conferences (orales) (JSSI et BlackHat) et que le cheval de troie a ete' publie' sur le site d'une de ces deux conferences ? Vous ne comprenez toujours pas ce que votre hypothese d' "imperatif de maquette" a d'abracadabrant dans le cadre d'une communication orale et pourquoi je refuse de considerer des hypotheses aussi fumeuses que celle-ci avec pour unique pretexte de "travailler a decharge" ? Non, je me contente de batir des hypotheses logiques et coherentes a partir des faits verifiables. Tant pis si ca vous derange.
le 06/01/2006 02:11
| Quote: |
Voyez ces deux "contrairement a vous" ? Et ben c'est exactement ce que vous me repprochez : vous m'attribuez une attitude que je n'ai pas. Que savez vous des elements dont j'ai decide' de ne pas parler parce que j'ai justement trouve' des elements convaincants a decharge ? Rien, et pour cause. Vous preferez affabuler publiquement sur mon compte, en profitant de mon anonymat sachant que celui-ci est incompatible avec un recours legal. C'est bas. |
Je n'affabule pas sur votre compte : si vous faisiez un travail aussi à décharge, vous auriez par exemple questionné la personne concernée pour qu'elle présente sa défense. A ma connaissance, vous ne l'avez pas fait.
Si la justice faisait comme vous dans notre République, Guillermito aurait été condamné sans passer devant un tribunal.
Il est donc inutile de débattre avec vous plus loin à ce sujet. EOT.
[ Ce Message a été édité par: oa le 2006-01-06 02:14 ]
le 07/01/2006 01:15
Mais rassurez vous : je n'en deduis pas pour autant que vous avez enfin compris que votre reticence a prendre position dans cette affaire (on va dire ca comme ca) etait infondee et contraire a la logique. Mais ca viendra peut-etre, je ne desespere pas.
[addsig]
[ Ce Message a été édité par: tweakie le 2006-01-07 01:27 ]
le 07/01/2006 12:15
J'aimerais faire autre chose de mes journées que devoir en permanence démentir vos mensonges à mon égard. Comment réglons-nous cela ?
le 07/01/2006 18:16
Je te vois souvent dire que tu n'as pas d'avis arrêté sur certaines questions parce que tu n'as pas fini ton enquête ou je ne sais quoi.
Depuis quand sors-tu cette excuse ? à force, ça se périme.
Et puis, quand on veut on peut, je ne pense pas que tu veuilles vraiment te bouger pour faire autre chose de tes journées. Pardonne à tweakie qui commet des pêchés, si tu veux redorer ton nom, c'est pas en continuant à batailler ainsi que tu vas réussir, après c'est que mon avis bidon.
Et puis, arrête d'essayer d'avoir le dernier mot.
Voilà, fin des conseils pour l'année,
bye
le 07/01/2006 18:54
Ou plutot, en quel lieu : sur le pre' aux clercs, derriere le palais du Luxembourg ou a l'abbaye des Carmes-Dechausses ?
[addsig]
[ Ce Message a été édité par: tweakie le 2006-01-07 23:19 ]
le 07/01/2006 20:13
De toute façon, je vais peut être vous l'apprendre, mais Google a mis aujourd'hui un coup de poignard dans le petit monde des antivirus ... En effet, il fournit gratuitement dans son Google pack (http://pack.google.com/pack/pack_installer.html) Norton Antivirus.
Je vous laisse tirer les conclusions.
le 07/01/2006 23:47
le 23/02/2007 11:33
Si ce n’est pas ton avis c'est celui de qui ? Du miens ? Non alors c'est ton avis, tu pourrais au moins assumer ta prise de position...
Et en attendant, la justice n'est pas égalitaire, ni juste... arrête d'essayer de te justifier comme quoi tu es parfait, elle continuera à faire plus d'erreur que de jugement équitable, autrement ca se saurait.
le 23/02/2007 15:22
-- Sinon, y'a bien un truc qui me ferait rire, c'est que les protagonistes de l'affaire reviennent a cause de ca. On sait jamais, j'vous rappelle que c'etaient des acharnés, (je ne citerais personne), et jsuis pret a parier qu'il y'en a bien un qui scrute le forum, pret a rebondir.
PS : Jassume toutes les conneries que je dis, nen deplaisent aux gens.
le 23/02/2007 15:41
[addsig]
[ Ce Message a été édité par: Shiva le 2007-02-23 15:42 ]