Un hacker italien inquiété pour avoir révélé des failles de sécurité dans une plateforme de jeu

Le Digital Millenium Coyright Act (DMCA) fait à nouveau parler de lui à travers les déboires d'un jeune chercheur en sécurité informatique italien. Cette loi américaine de 1998 maximise la propriété intellectuelle et interdit, entre autres, la fabrication et la diffusion d'outils permettant d'outrepasser les protections des logiciels. Luigi Auriemma est menacé de poursuites judiciaires par Gamespy s'il ne retire de son site ses travaux exposant des failles dans cette plateforme de jeu. L'affaire illustre la portée floue et les usages multiples de la loi de protection du copyright américaine, qui est actuellement en cours de transposition en droit européen et français.

Controversé depuis sa naissance en 1998, le DMCA est devenu célèbre sur le réseau au travers de l'affaire Adobe contre Sklyarov. L'éditeur de logiciels américain s'était servi de cette loi pour inquiéter le doctorant en cryptographie russe, accusé d'avoir dévoilé des failles dans son système de cryptage des livres électroniques. L'action d'Adobe avait déclenché une vague de protestations en ligne.

Pavé de bonnes intentions...
Aujourd'hui, c'est Luigi Auriemma, un informaticien italien de 22 ans, qui est visé par la société Gamespy. Le différend concerne d'abord le logiciel Roger Wilco qui permet à ses utilisateurs de discuter oralement pendant qu'ils jouent sur le net. En mai 2003, Auriemma, spécialiste de la sécurité des plateformes de jeu en ligne comme Unreal, décide de s'exercer sur une version de Roger Wilco récupérée sur le net. En deux jours, il trouve et répare deux failles du logiciel et le signale à l'éditeur Gamespy. La communication semble alors passer.

Fort de ce succès, le hacker italien décide de poursuivre ses investigations jusqu'à créer un clone en version libre d'un autre logiciel édité par Gamespy et permettant de récupérer des informations (nombre d'utilisateurs connectés, localisation, etc.) sur les serveurs de jeu. C'est ce clone, baptisé GSinfo, qui a valu à PivX, une société américaine de sécurité pour laquelle Auriemma travaille comme consultant, une première injonction. S'appuyant sur le DMCA, Gamespy "interdit l'émulation, le clonage et le portage vers un autre système d'exploitation" de son logiciel.

L'affaire aurait pu s'arrêter là si Auriemma n'avait pas constaté que Gamespy, dans les nouvelles versions de son logiciel, n'avait aucunement tenu compte de ses corrections et remarques. Dans le résumé de ses démélés avec Gamespy, l'Italien va jusqu'à les comparer à des "bugwares", des logiciels remplis de défaillances techniques. Auriemma décide alors de publier l'intégralité de son travail, afin que le public ne soit pas victime de logiciels qu'il juge peu sécurisés.

Menace et contre-attaque
Le 6 novembre, Auriemma reçoit un injonction Cease and Desist, un document de cessation d'activité et de désistement de droit sur les productions, appuyé sur le DMCA. Ainsi, la plateforme de jeu lui intime l'ordre de supprimer tout son travail concernant Gamespy dans les plus brefs délais, à défaut de quoi des poursuites judiciaires seront lancées à son encontre.

Dans une lettre d'explication publiée le 13 novembre, Gamespy dit ne pas être opposé au fait que des informaticiens lui dévoilent des failles de sécurité et l'aide à les réparer. La société déclare avoir réagi cette fois-ci car Auriemma aurait demandé une compensation financière, et menacé de publier ses travaux en ligne, s'il ne l'obtenait pas.

En réaction, l'informaticien italien a dépublié de son site certains de ses travaux sur Gamespy car ils concernaient "des éléments très vieux qui ont déjà été diffusés sur tout l'internet il y a longtemps". Par contre, il refuse de retirer son logiciel GSinfo.

Ironie du sort
Auriemma évoque la situation avec ironie : "La chose amusante dans cette histoire, c'est qu'au lieu de dépenser leurs ressources dans la correction de leurs failles, ils ont préféré jouer avec des avocats." En page d'accueil de son site, le chercheur en sécurité demande des excuses publiques de Gamespy et prévient qu'il alertera le fournisseur d'accès de toute société qui lui ferait parvenir une nouvelle injonction Cease and Desist.

On ne sait pas si Gamespy va effectivement porter plainte, ni la portée juridique d'une telle mesure contre un ressortissant italien, le DMCA étant un texte de droit américain. L'ONG de défense des libertés Electronic Frontier Foundation et des juristes de l'université de Stanford, qui avaient soutenu le Russe Sklyarov, dénoncent la portée très large du DMCA et les dérives liberticides qu'entraîne ce texte, en interdisant de parler de certains sujets.

Malgré les critiques et le manque de jurisprudence éclairant ce texte, le DMCA est en passe d'être transposé en Europe. La directive européenne relative au droit d'auteur et aux droits voisins de 1998 a donné naissance au projet de loi Jean-Jacques Aillagon, présenté la semaine dernière au Conseil des ministres. Le texte, qui doit être examiné par le Parlement français en 2004, renforce la valeur juridique des systèmes de protection des oeuvres et restreint le droit à la "copie privée", une exception au droit d'auteur.

De plus, une nouvelle directive de renforcement du copyright est actuellement examinée par le parlement européen : soutenu par l'eurodéputée Janelly Fourtou, le texte fait l'objet de vives critiques de la part d'associations, de juristes et d'informaticiens, pour qui il est à certains égards pire que le DMCA, assimilant juridiquement le piratage à du terrorisme. Vote en session plénière le 15 décembre.