Viguard

• Société TEGAM INTERNATIONAL
  Auteur de Viguard
  RCS Paris B 381 479 088
  Décision(s) de justice : Depuis le 10-05-2005 - Liquidation judiciaire
  Liquidateur :
  JOSSE MARIE-JOSE
  4 Rue du Marche-Saint-Honore
  75001 PARIS 01
  http://www.societe.com/cgi-bin/recherche?rncs=381479088&vu=4
  
  
  
• Société Dodata
  Grossiste en informatique
  Distributeur de Viguard auprès du réseau de revendeurs
  Décision(s) de justice : Depuis le 31-01-2007 - Liquidation judiciaire
  Liquidateur :
  PELLEGRINI GILLES
  4 le Parvis de Saint Maur
  94000 ST MAUR DES FOSSES
  http://www.societe.com/cgi-bin/recherche?rncs=421327776&vu=4
  

• règles applicables aux fichiers (accès application-fichiers programmables (Filewall))
• règles applicables aux processus
• règles applicables à la base de registre
• méthodes de certification des macros authorisées
• filtration des téléchargements
• filtration des pièces jointes
• système de contrôle du démarrage (liste de démarrage)
• système d'alerte sur l'envoi de mail
• système d'audit de l'utilisation d'Internet par les applications

• On ne peut pas le confronter, dans un test "on demand" à une collection de virus, car il ne comporte pas de scanner et ses technologies ne reposent pas sur des signatures de virus. Notons que les nouvelles versions comportent un scanner à signatures utilisé lors de l'installation du produit.
  
  
• On ne peut pas, non plus, le tester dans le contexte dit "on-access" (à l'ouverture d'un fichier infesté) car il intervient avant, en empêchant l'infestation.
  
  
• Les laboratoires "West Coast Labs" qui délivrent le label CheckMark (vous pouvez retrouver leurs résultats dans le tableau de synthèse des tests antivirus) ont attribués le label CheckMark à Viguard le 7 avril 2004 après un test dit de "certification niveau 1" consistant en l'affrontement de la "Wild List" (liste assez courte, servant de standard industriel, des virus les plus actifs du moment) sans utiliser de base de signatures. Le test s'est déroulé en mars 2004 sur la version de juin 2003 de Viguard, soit une version de plusieurs mois antérieure à la création des virus contre lesquels elle a été confrontée. La Wild List de mars 2004.
  
  

• Une analyse comportementale assez confidentielle pour qu'on n'en sache quasiment rien (il ne semble pas qu'il s'agisse, par exemple, d'une sandbox).
  
  
• Un contrôleur d'intégrité. Il tourne le dos aux signatures des virus en s'attachant exactement à leur inverse : les signatures des programmes sains - la vaccination - par calcul de signatures RSA MD5 générant des certificats.
  • Ceci nécessite :
    • un état initial impérativement sain avant l'installation de Viguard car il scanne le contenu de vos lecteurs durant l'installation et certifie les fichiers qui s'y trouvent (raison pour laquelle il n'y a pas de version de démonstration ou d'évaluation en libre téléchargement. Il faut écrire à l'éditeur en remplissant un formulaire (un peu inquisiteur). Une version d'évaluation sur 15 jours est alors fournie dont l'installation est précédée d'un scan classique).
    • la coopération forte d'un humain "avancé" en informatique, de réel niveau "administrateur" (pas au sens des droits d'accès en tant qu'administrateur mais au sens de l'intelligence de la chose) de la machine ou du réseau.
  • Ceci sous-entend
    • que ces listes de signatures MD5, livrées en standard avec le produit ou créées avec l'aide de l'administrateur de la machine, s'apparentent à des listes de signatures de virus mais, en l'occurence, sont des listes blanches (permissives) au lieu de listes noires (restrictives), même s'il s'agit de listes de chiffres clé MD5 au lieu de liste de chaînes de caractères.
    • que ces listes subissent des mises à jour régulières mais à la charge de l'utilisateur, sur la base de ses choix, par exemple de certification d'une nouvelle macro commande, raison pour laquelle les mises à jour ne viennent pas de l'éditeur mais se passent en tête à tête entre l'utilisateur et le produit Viguard.
    • que Viguard arrête bien tout ce qui lui est inconnu, modifié ou suspect (virus et autres) mais que c'est à l'utilisateur de décider lorsqu'il est face à une alerte. Il doit donc être parfaitement informé de tout et capable de prendre une décision devant chaque alerte de Viguard. Il dispose d'une hot line chez l'éditeur pour aider dans ses prises de décisions. Il doit, impérativement, avoir un profil d'informaticien. Si un virus, quelque soit sa forme, vers, virus, macrovirus, malveillance diverse, attaque du boot... passe, c'est l'utilisateur qui l'a laissé passé et est donc complice, Viguard s'en lavant les mains. Ceci est parfois appelé "politique de responsabilisation de l'utilisateur" mais peut tout aussi bien être appelé "politique de déresponsabilisation de Tegam et Viguard".
      
      

• Une protection / surveillance des exécutables
  • NetTrap qui est un filtre Internet (probablement un fonctionnement de type proxy local - analyse par mot clé des scripts)
  • Analyse de comportement (behavior - probablement de type SandBox - bac à sable)
  • Contrôleur d'intégrité (vaccination, signatures MD5, copies de sécurité...)
• Une protection contre les macro virus
  • Certification des macros (standards livrées avec les produits et non standard soumisent à l'administrateur)
  • Vaccination des documents (le terme "documents" ne précise pas quels types de documents sont vaccinés)
  • Vaccination des modèles (protection)
• Une protection contre les vers et chevaux de Troie
  • NetTrap qui est un filtre Internet (probablement un fonctionnement de type proxy local - analyse par mot clé des scripts)
  • Analyse de comportement (behavior - probablement de type SandBox - bac à sable)
  • ViStartup qui surveille la liste de démarrage, comme StartupMonitor
• Une protection contre les virus de boot
  • Vérification des lecteurs
  • Sauvegarde et surveillance des boot
  • Anti-furtivité (?)
    
    

• Capable de s'assurer que votre système est bien protégé contre les virus connus et inconnus, même s'ils sont furtifs, polymorphes ou cryptés.
  
  
• Capable de différencier une modification virale (injection) d'une modification légitime d'où il ne génère pas de fausse alerte ("faux positif").
  
  
• Capable de détecter les virus de boot en temps réel.
  
  
• Capable de nettoyer les fichiers exécutables ou les composants (.dll) modifiés par un virus et de les restaurer à 100% dans leur état d'intégrité initiale.
  
  
• Capable de détecter les macro-virus et permettre à l'administrateur de certifier ses propres macros ou celles reçues de sources fiables (les macros non certifiées étant déclarées suspectes et devant être éliminées).
  
  
• Capable de tester et restaurer la mémoire CMOS.
  
  
• Capable de filtrer les e-mail (qui sont porteurs, désormais, de plus de 90% des infections virales). Le filtrage Internet est assuré par le module NetTrap de Viguard qui bloque tout e-mail contenant un ver avant que celui-ci ne puisse agir.
  
  
• Capable de déclencher une alerte à Haut risque lorsqu'un fichier comporte de multiples extensions dont la dernière devrait laisser penser que le fichier est anodin alors que l'une des autres extensions ou le contenu laisse entendre qu'il s'agit de code exécutable.
  
  
• Capable de détecter et bloquer des ouvertures de ports non autorisées. Ainsi, l'ouverture de port est signalée puis interdite.
  
  
• Capable de protection contre la désactivation : beaucoup de virus (vers de type BugBear.B) désactivent les firewalls personnels et les logiciels antivirus. Viguard s'auto protège contre la désactivation et protège d'autres logiciels. Un firewall personnel protégé par Viguard ne peut être désactivé sur des plates-formes à noyau NT (Windows 2000, XP, NT4).
  
  

• Ce logiciel, conceptuellement, se présente comme un excellent outil qui comble le gap temporel entre la naissance d'une hostillité, virale ou non virale, et sa prise en charge par les outils standards, soit les quelques heures à quelques jours durant lesquels le système est vulnérable à une nouvelle malveillance technologiquement hors du champs des moteurs heuristiques, bac à sable et autres dispositifs prédictifs des solutions standards. Toutefois, pour le soulager et soulager son utilisateur, je l'utiliserais au dessus d'une famille d'outils standards qui déblaient le terrain devant lui : un antivirus classique, un anti-trojan et un proxy à filtres. Un solide firewall, quant-à lui, est déjà recommandé par Tegam pour Viguard.
  
  
• Il ne faut pas réduire Viguard à un antivirus car c'est bien plus que cela en étant un véritable contrôleur d'intégrité. Il semble que le marketing de Tegam ne l'ai toujours pas compris. D'après eux, dans une correspondance privée qu'ils m'adressent en avril 2004, dire que Viguard est un système de contrôle d'intégrité au lieu d'un antivirus est réducteur.
  
  
• Contrairement aux outils classiques qui fonctionnent totalement silencieusement, Viguard ne prend pas d'initiative face à une situation nouvelle, puisque, n'ayant pas de signature, il n'a pas de certitudes. Viguard crée une situation d'alerte. Son utilisateur doit donc être une personne responsable et formée, disponible en permanence et doit pourvoir à son remplacement en cas d'abscence (congés, maladie etc. ...) d'où la quasi impossibilité de l'utiliser sur un ordinateur domestique ou de toute petite entreprise où le "responsable" est appelé à s'absenter sans avoir de remplaçant pour gérer une situation d'alerte. Il est donc préférable de réserver Viguard au milieu de la grande entreprise et des grandes structures, avec une équipe permanente de responsables formés, dans le cadre d'une politique rigoureuse de sécurité dotée d'une charte respectée, avec application de tous les patch de sécurité sur tous les logiciels et avec une configuration rigoureuse de Viguard et des logiciels.
  
  
• Son installation sur une machine rigoureusement saine ne peut se concevoir qu'au moment de l'installation de Windows, avant toute connexion au Net et toute installation d'autres logiciels. La moindre modification aux programmes ou à leurs composants (dll...) sera signalée à l'utilisateur. On n'oubliera pas que ce n'est pas un utilisateur "de base" qui est capable de prendre ce genre de décision (acceptation ou refus) et qu'il est nécessaire de suivre une formation (ou être du métier). Pour se rendre compte du "bruit" que peut faire un utilitaire de contrôle d'intégrité, Viguard ou autre, il suffit d'installer un firewall comme ZoneAlarm Pro (30 jours d'essais gratuits) et de le paramétrer en "Mode contrôle des programmes - Elevé". Vous verrez le nombre de fois où vous êtes interpelé pour prendre une décision parcequ'une dll à été modifiée. Je vous souhaite bien du plaisir, même si vous êtes un utilisateur avancé, pour savoir pourquoi telle dll à changé de taille. Vous acceptez avec angoisse ou vous refusez et ça ne marche plus. D'ailleur Viguard ne s'y trompe pas et livre son produit avec un paramétrage de base qualifié de "souple" .../... "qui permet de faire l'impasse sur les modifications bénines les plus courantes", laissée à la charge d'un véritable FireWall, sinon il "génère systématiquement des alertes sur n'importe quelle modification dans l'ordinateur (virale ou non)" et l'administrateur serait noyé sous un flux continu d'alertes.
  
  
• Ce logiciel s'adresse à des gens informés et vigilants qui ont déjà un antivirus entre les oreilles. Tegam m'écrit :
  
  "Il faut savoir que la clientèle de TEGAM International est principalement le monde de l'entreprise. En entreprise, aucune décision dangereuse n'est laissée à l'utilisateur final – seul l'administrateur peut certifier et accepter des éléments ou opérations dangereuses."
  .../...
  "ViGUARD a une clientèle à 98% professionnelle"
  .../...
  "encore une fois, en entreprise, la problématique de la sécurité est complètement différente, puisque ce n'est pas à l'utilisateur final de prendre les décisions."
  
  
  

• Le site de Tegam est exécrable car il est censé s'adresser à des techniciens de la chose hors il est un modèle de langue de bois. Les textes sont dithyrambiques mais n'apportent strictement aucune information sur les produits. Le seul document à en apporter est la réponse de Viguard à ses détracteurs. Tout leur site devrait être de cette trempe.
  
  
• Se souvenir qu'aucun antivirus n'est fiable à 100%, pas plus les classiques Norton, Kaspersky, Panda etc. ... que Viguard.
  
  
• L'un des arguments commerciaux majeurs martelés par Tegam est la fidélité de ses clients. C'est tellement important dans leur "communication" qu'il convient d'en dire quelques mots ainsi que sur la psychologie humaine. Il faut vraiment que Tegam revoie sa politique promotionnelle. La versatilité en matière de sécurité est du ressort des adolescents boutonneux et boulimiques. C'est, encore une fois, une erreur de marketing. Personne, après avoir suivi une formation, d'autant plus qu'elle est nécessaire sous Viguard, ne remettra en cause ses acquis et son confort pour recommencer et repartir dans l'incertitude et l'apprentissage avec autre chose. Moi-même, qui, pourtant, teste les produits, je suis fidèle à Norton depuis 20 ans ! C'est une question de nature humaine. Avoir une telle approche commerciale auprès d'un particulier est à peine envisageable, mais l'avoir auprès d'un acheteur et d'un directeur de l'informatique d'un grand groupe, c'est les infantiliser et ça ne passe pas. D'autre part, de cette pseudo fidélité : en entreprises, jamais on ne remettra en cause un choix pour 3 bonnes raisons :
  1. Ne pas se désavouer aux yeux de sa hiérarchie ni aux yeux de ses subordonnés. Pour la même raison, il sera difficile de trouver un ex-utilisateur qui viendra témoigner en disant, en substance : je suis mauvais car j'ai fait le mauvais choix, j'ai engagé des capitaux dans la mauvaise direction, je n'ai pas su me servir du produit etc. ...
  2. Ne pas désorganiser les services donc, même si le produit n'est pas "top", on fait et on continuera de faire avec.
  3. Ne pas "cracher au bassinet" une nouvelle fois et engager de nouveaux investissements (financiers directs et coûts indirects).
     
     

• Comment baiser ViGuard, premiere lecon. Date de 2001
• Questions à Guillermito et Roland Garcia par Alain Godet et Olivier Aïchelbaum
• Viguard mauvais antivirus et mauvais perdant
• Viguard (faille OR failles) Recherches Google
• Viguard "fr.comp.securite.virus" Recherches Google
• Tegam, le "mauvais garçon" de la lutte antivirale
• Désinformation sur Viguard - Une réponse de Viguard à ses détracteurs
• Filtrage des emails : la protection de Viguard
• Mise en examen de Guillermito par Tegan (25 mars 2004)
  
• Un fil de discussion sur les forums CommentCaMarche
• Société Tegam - Comptes, Résultats
• Viguard, une solution antivirale atypique
• Viguard 2004 : de nouvelles parades aux nouveaux virus
  
• Tegam International en liquidation judiciaire (par Jack Cacilis - MVPS)
  
• TEGAM en liquidation judiciaire (par Maître Eolas)
  
  On se penchera sur les autres outils de type Contrôle d'Intégrité en temps réel dont PrevX, "InVircible Anti Virus" ou "SSM System Safety Monitor" (gratuit) ou Abtrusion Protector (gratuit pour les particuliers) ou encore Finjan, Indefense...
  
  

Viguard fait figure d'Ovni sur le marché des antivirus. Contrairement aux logiciels classiques, qui utilisent des bases de données contenant des « signatures » de virus pour les identifier, Viguard commence par prendre une « photographie » du PC sur lequel il est installé. Ensuite, il le surveille en permanence pour repérer tout comportement anormal (par exemple, quand un programme essaie de modifier les fichiers système de Windows). Principal avantage, Viguard n'a pas besoin d'être régulièrement mis à jour pour détecter un nouveau virus. Mais son fonctionnement est extrêmement contraignant. D'abord, il ne doit être installé que sur un PC sain, donc sans virus, de préférence juste après la mise en place de Windows. Ensuite, il faut être initié pour comprendre les messages d'alertes du programme quand il suspecte quelque chose. Que faire, par exemple, quand Viguard signale que le fichier SVCHOST a été modifié ? Une mauvaise réponse, et Windows peut ne plus fonctionner... Car, contrairement aux autres antivirus, Viguard ne prend aucune décision seul ; c'est à l'utilisateur de lui ordonner d'éliminer un élément suspect ! Pour mettre Viguard à l'épreuve, nous avons infesté un PC de plusieurs centaines de virus, dont certains très anciens. Certains ont bien été repérés ; d'autres non... Pire, Viguard n'a même pas détecté des mails contenant les vers qui ont récemment défrayé la chronique. Certes, on ne risque rien tant que l'on n'ouvre pas les pièces jointes, mais un antivirus ne devrait pas laisser des fichiers infectés sur une machine... http://www.01net.com/article/248861.html

LE POLÉMISTE DE LA LUTTE ANTIVIRALE Viguard 9 vient d'être lancé par l'éditeur Tegam. L'antivirus tient enfin compte de la problématique des vers et des " virus d'Internet ". Cette version vise à rattraper ses concurrents tout en offrant une protection... qui est loin d'être absolue. Olivier Ménager , 01 Réseaux, le 01/01/2001 à 00h00 Dans le paysage de la lutte antivirale, Tegam, l'éditeur du logiciel Viguard, a toujours tenu un rôle particulier avec une communication qui étonne. En mai dernier, à l'époque de la sortie de l'épidémie " I love you ", nous recevions par voie électronique le message suivant : " À nouveau, les antivirus traditionnels ont été mis en échec par une attaque logique et ont été incapables d'empêcher des millions d'ordinateurs d'être infectés. Il est irresponsable de confier la sécurité de ses systèmes informatiques à des utilitaires qui ne savent réagir qu'une fois les ordinateurs infectés. " Ce texte était signé d'Eyal Dotan, directeur du secteur recherche-développement de Tegam. Des faiblesses en matière de signatures Dans le dossier de presse, le terme de " passoires " est utilisé pour qualifier les technologies concurrentes de mise à jour de signatures. Cette position tranchée laisse penser que Tegam a trouvé la solution miracle en matière antivirale. Un seul problème, et de taille, c'est que Viguard a, lui aussi, de sérieux handicaps. Il ne fournit pas plus de protection totale que les autres antivirus du marché. Pis, il ne sait pas lutter contre certains virus bien identifiés par ses concurrents. Viguard ne s'appuie pas sur une signature de virus, mais sur un comportement donné pour les différentes familles. L'exemple le plus simple à comprendre est celui des virus de boot. Tout virus de cette famille doit écrire des données soit dans le MBR (Master boot record) , soit dans le secteur d'amorçage. Viguard avertit donc l'utilisateur qu'un programme tente d'écrire des données dans ces zones. Concernant les virus macros, le principe du premier niveau de protection bloque l'exécution de toute macro. Nous ne pouvons cependant que rappeler que certaines solutions, à l'instar de celles de Trend ou de Symantec, gèrent parfaitement cette fonctionnalité. La quasi-totalité des logiciels disponibles sur le marché offre des technologies complémentaires aux signatures de virus. C'est le cas des technologies heuristiques ou d'analyse comportementale. Tegam n'apporte donc rien de plus sur le plan conceptuel, il offre simplement la mise à jour de signatures... en moins ! Sans une seule signature, les concurrents précités sont capables d'éradiquer une grande partie des virus. Seul le poste client est protégé Dans le passé, Tegam jouait sur la terminologie car son logiciel ne traitait que les virus au sens strict. La porte était donc ouverte à nombre de vers et de chevaux de Troie. Dans tous les cas, les nuances de vocabulaire face aux pertes de données n'ont que peu d'intérêt. Savoir que son ordinateur a été détruit par un virus, un ver ou une bombe logique revient au même pour l'utilisateur. En outre, Viguard ne traite que le poste client (sous Windows). " Une question d'approche de la sécurité " , justifie Marc Dotan, p.-d.g. de l'éditeur. Un point de vue surprenant. Laisser passer un virus au niveau de la passerelle Internet équivaut simplement à laisser passer un terroriste à la frontière sous le prétexte qu'il ne va pas s'attaquer au poste frontière ! QUAND VIGUARD 9 REGARDE PASSER LES VIRUS... Le portail Secusys ayant indiqué que Viguard 8 laissait passer le ver I-Worm, les utilisateurs ne devront pas appliquer une mise à jour de signature, mais tout simplement changer de produit pour être protégé de ce ver. Toutefois, tout n'est pas simple. " Avec les versions précédentes, la mise à jour des postes de travail s'effectuait par appel d'un exécutable situé sur un serveur, qui vérifie régulièrement l'intégrité du produit sur le poste client et la présence éventuelle d'une nouvelle version. Or, avec Viguard 9, la dénomination de cet exécutable a changé, ce qui, fort logiquement, empêche le fonctionnement des raccourcis situés sur les postes de travail et oblige à un nouveau passage sur ces derniers ou au développement d'une nouvelle procédure automatisée " , explique Patrick Troysi, responsable des systèmes d'information au palais de la Découverte à Paris. Bien que cette dernière mouture soit censée concerner toutes les familles de virus, nous avons fait un test avec un virus répertorié. En quelques secondes seulement, notre système a été rendu totalement inutilisable... http://www.01net.com/article/139387.html

Comme 01net n'a pas donné suite à la demande de M.Dotan de publier un droit de réponse, ce dernier les a assignés devant le Tribunal de Grande Instance de Paris. Lequel a débouté Tegam http://www.legalis.net/breves-article.php3?id_article=163

Tegam se présente comme une société frtançaise or, en décembre 2004, l'ambassade d'Israël en France reprend Tegam comme une société israelienne ? La société Tegam ayant déposé son bilan (n'existant plus) elle n'apparaît plus actuellement sur cette liste. http://www.israel-industrie.com.fr/site/societes.tpl

Sans doute, faut-il remonter à la génèse de ce produit pour comprendre cette reconnaissance par l'ambassade d'Israël - En effet, d'après Zvi Netiv, Tegam lui aurait piqué son logiciel Citation: > Salut, > > Zvi Netiv: > > J'ais mis en ligne les bitmaps d'une revue des produits AV, et > > d'un interview publiés dans Compatible PC magazine no. 44, de Mai > > '91, qui prouve que c'est faux: > > http://invircible.com/download/tegam/Tegam1.jpg et > > http://invircible.com/download/tegam/Tegam2.jpg > > Tegam vendait votre logiciel en France sous le nom de V-Guard. Ce > nom ne vous appartenait pas? Le nom d'origine du produit est V-Care, et V-Guard est le nom du module qui fesait la sécurisation et restauration sur base de signatures intégrité. Les deux noms était d'abord enrégistrés ici, en Israel. Quand nous avons lancé la commercialisation en France, M. Dotan nous a convaicu que V-Care ressemble trop 'vicaire' et on c'est mis d'accord à utiliser V-Guard en France, comme vous le voyez bien de l'article que j'ais mis en ligne. Ailleurs dans ce fil, j'explique l'histoire du brevet ViGuard, et comment Marc Dotan nous a trompé en enrégistrant ViGuard sur son nom, en place de Zvi et Amir Netiv comme éditeurs, et lui même comme distributeur pour la France. Vers la fin de '91, Dotan est venu avec une fausse histoire, prétendant que "V-" (v tiret) était attribué dans la perception du public au produit antivirus 'V-Analyst' (un produit Israélien de BRM) qui était vendu à ce temp en France par Infodidact. Dotan me raconta que Jean Luc Arfi, directeur de Infodidact, lui menacait de le trainer en cours, et demanda de changer le nom du produit pour la France au nom de ViGuard, pour le distinguer de V-Analyst. L'histoire me semblait louche, mais sous pression d'Amir, j'ais accordé le nom ViGuard à Dotan, apres l'avoir fait signer un engagement qu'il enrégistrera le brevet à notre noms. Le copyright de NetZ Computing existait dans les logiciels vendus en France sous le nom de ViGuard jusqu'a Septembre '93, quand j'ais terminé Tegam comme mon distributeur, suite à la découverte qu'il m'a tromper en enrégistrant le produit sur son nom. L'histoire de V-Analyst était qu'un faux prétexte pour voler le copyright. NetZ Computing Ltd. ISRAEL http://invircible.com support@resq.co.il InVircible Virus Defense Solutions, ResQ and Data Recovery Utilities E-mail sent in reply to this post will not be considered private and will be answered in the newsgroup. Top posting is not appreciated! http://groups.google.com/groups?

Compatible PC magazine fait partie d'un groupe dirigé par Jean Kaminsky , dont l'épouse figurait à l'époque parmi les actionnaires de la société. Citation: Tegam: la société Tegam est une société inscrite au registre du commerce. Créée en 1991 par Marc Dotan, elle commercialise Viguard, un logiciel visant à protéger les ordinateurs contre les virus et autres chevaux de Troie. L 'idée est de vérifier l'intégrité des fichiers (leur modification éventuelle). La société Tegam employait en moyenne 0, 5, 8, 8, 8, 8, 6, 0, 0 et 6 salariés en 1994, 1995, 1996, 1997, 1998, 1999, 2000, 2001, 2002 et 2003 respectivement. Le bénéfice (ou perte) de l'entreprise était de 92.600 euros, 228.196 euros, 100.509 euros, 91.782 euros, 26.625 euros, -435.238 euros, -75.459 euros, 163.204 euros, 15.251 euros et 7.846 euros en 1994, 1995, 1996, 1997, 1998, 1999, 2000, 2001, 2002 et 2003 respectivement. Actionnariat: Du 11 mars 1991 au 19 février 1993 les actionnaires de l'entreprise Tegam étaient: Sylvie Brouxel épouse Jean Kaminsky, 20% Annie Kaminsky épouse Marc Dotan, 25% Marc Dotan, 25% Milka Haberman veuve Rozenberg, 30% Depuis le 19 février 1993 les actionnaires de l'entreprise Tegam sont: Annie Kaminsky épouse Marc Dotan, 25% Marc Dotan, 25% Milka Haberman veuve Rozenberg, 50% Ces chiffres sont issus des documents déposés par Tegam au tribunal de commerce. (IN http://www.kitetoa.com/ )

Si comme l'écrit Tegam, Viguard a bien été codé par Eyal Dotan, il s'agit d'un petit prodige car il l'a fait à l'âge de 12 ans. Citation: Eyal Dotan est présenté comme l'inventeur de Viguard et celui qui code chez Tegam. L'immatriculation de la société Tegam date de 1991. Eyal Dotan, qui est né en 1979, avait alors 12 ans. Des dates qui collent mal avec le descriptif de David Nataf dans son livre « La guerre informatique ». Page 43, David Nataf nous apprend qu'Eyal « a 17 ans » quand il invente un logiciel antivirus (c'est à dire en 1996). Page 44, David Nataf nous explique de Marc Dotan a créé Tegam pour commercialiser l'invention de son fils. Invention qui daterait, toujours si l'on en croit David Nataf, de 1996... une date bien postérieure à la création de l'entreprise (1991). http://www.kitetoa.com

Pour se faire une idée, un article de Piratemag de 2001 (!) analyse le logiciel http://www.acbm.com/pirates/num_09/viguard.html Enfin dans les pratiques commerciales de Tegam, relevons celle-ci signalée par solutions.journal du net, Secuser et Indexel http://solutions.journaldunet.com/printer/020131_catastrojan.shtml http://www.secuser.com/hoax/2002/goodluck.htm http://www.indexel.net/1_20_2382/Good_Luck_le virus fantome.htm

Je prie toute personne ayant un intérêt quelconque dans cette affaire ou ayant des informations additionnelles de bien vouloir compléter / contredire ce qui suit afin que ce fil de discussion soit le plus objectif possible. Dans la famille des contrôleurs d'intégrité en temps réel on trouve InDefense. InDefense (InDefense's Achilles'Shield) http://www.indefense.com/index.asp Ils avaient obtenu le label CheckMark du West Coast Labs dès 1998. Viguard ne l'a obtenu que le 7 mars 2004 (certification niveau 1) Ce produit pourrait être la version originale de Viguard dont Tegam aurait perdu la « licence » et, surtout, la documentation, au profit de la société InDefense (In-Defense ?), de qui ils s’étaient rapproché pour pénétrer le marché Nord américain. Ceci accréditerait une thèse que j’ai vu je ne sais plus où selon laquelle les gens de Tegam se sont retrouvé avec un produit qu’ils ne connaissaient pas (ils ne l’ont jamais écrit et surtout pas la légende du gamin de 13 ans), dont ils ne savaient même pas ce qu’il faisait et comment il le faisait. Il y a longtemps, Pierre a écrit: Il y a un truc opaque entre Tegam et InDefense. Le produit actuellement connu sous le nom de Viguard est "inventé" conceptuellement par le fils Dotan, agé de 13 ans. Le père, un homme d'affaires français, fonde Tegam France et veut couvrir l'Europe. Le produit est remarqué par l'un des directeurs d'Apple. Le père décide alors de "monter" aux states et fonde Tegam International, Inc, qui a pour site www.in-defense.com, vers Juin ou Juillet 98 et qu'il dirige depuis la France. Montages financiers. Cession de licence pour 1,1 M$. Le rêve de devenir en 2 ans le 3ème mondial derrière McAfee et Norton... et puis rien. Le système est opaque. Je ne pense pas qu'il y ait quoi que ce soit de commun avec la InDefense, Inc. actuelle si ce n'est l'usage d'un nom par InDefense, Inc. que Tegam n'utilise plus depuis, l'abandon par Tegam de son domaine www.in-defense.com a ne pas confondre avec le www.indefense.com de InDefence, Inc. et un spécialiste de AV et des gestionnaires de comportements, Lixin Lu, qui prend la vice présidence de Tegam le 9 Oct 98 et passe à la vice présidence et CTO (Chief Technology Officer) de InDefense, Inc en 99 où il y serait encore. Je me demande si ce n'est pas lui qui est parti avec la licence et le nom InDefense pour participer à la fondation de Indefense, Inc. en 1999. InDefense, Inc. est une société américaine, basés à Santa Cruz - Californie. Leur produit s'appelle Achilles'Shield. Tout ceci est à vérifier, confirmer, infirmer… mais est conforté par les pages 20 à 23 de ce document du Virus Bulletin (c’est bien le produit dont Tegam assure la distribution en France). http://www.virusbtn.com/magazine/issues/pdf/1998/199811.pdf Il me semble que j'avais obtenu plus de détails mais je ne sais plus du tout où (trop vieux tout ça et j’avoue une certaine lassitude, une lassitude certaine et un profond dégoût des manières de Tegam : – procéduriers – la tapageuse pub "arrête 100% des virus" – l'attaque contre Guillermito – les déclarations publiques, jamais démenties à ma connaissance, de Zvi Netiv qui serait le réel auteur du produit dont le nom d'origine est Invircible, distribué en France par Tegam dès 1991. Zvi Netiv est spolié par Tégam qui est à son tour spolié (peut-on alors dire cela) par InDefense – l’ouvrage « La guerre informatique » de David Nataf qui ouvre les yeux – la récapitulation de cette affaire que fait Kitetoa Guillermito m'avait fait parvenir de la documentation à l'époque où je me posais toutes ces questions. Les contrôleurs d'intégrité en temps réel, dont Viguard, SSM, ProcessGuard, Invircible, Abtrusion Protector, Finjan, InDefense, ... sont une excellente approche complémentaire (et uniquement complémentaire) aux outils à analyse comportementale (moteurs heuristiques des antivirus classiques à scanners. Certains chiffres avancent qu'un antivirus classique (scanner) auquel on enlève sa base de signatures continue à trouver 80% des virus grâce à ses méthodes heuristiques). Ils peuvent être un outil unique (avoir un pare-feu en plus, tout de même) à condition d’être entre les mains d’une équipe expérimentée dans une grande structure avec permanence 24/24 365/365 (ce qui pose le problème du coût de Viguard qui revient à quelques dizaines de milliers d'€ par an !). J’avoue, très souvent, ne pas du tout savoir pourquoi un binaire change tout d’un coup de taille ou un composant jusqu’alors inconnu demande des droits… alors, si ma perplexité est totale, imaginez le désarrois d’un utilisateur « normal » dans une administration, de nuit, le week-end ou un jour férié. Mettez simplement votre Internet Explorer auquel 70 à 80 % d’entre-vous êtes attaché en mode « demander » pour le téléchargement et l’exécution des contrôles ActiveX et maintenant, devant chaque question posée, demandez-vous si c’est légitime ou hostile. Soyez honnête avec vous-mêmes : dans 80% des cas, vous ne savez pas ! Maintenant faites la même chose avec votre pare-feu en mode contrôle des composants – soit vous laissez passer en serrant les fesses de peur, soit vous interdisez et, généralement, votre navigation se bloque. Je viens de préparer une machine pour un jeune couple lambda, avec simplement la maîtrise des composants ActiveX lorsque IE est nécessaire, Firefox et le module temps réel de l’antispyware de Microsoft (plus les trucs habituels SpywareBlaster, AV, pare-feu etc. …). C’est la panique – pour eux mon installation ne fonctionne pas – point – parce qu’elle pose des questions et qu’ils ne savent pas y répondre ! Ils ne comprennent d’ailleurs même pas les questions ! Autre chose : MD5 et les hashcodes. Le principe de base des contrôleurs d’intégrité est, en ce qui concerne les fichiers, de calculer leurs chiffres-clé (hashcodes type MD5, SHA1, etc. … voir SummerProperties, par exemple à http://assiste.free.fr/p/internet_utilitaires/summerproperties.php ) à un instant où le système est réputé fiable (cette méthode est parfois appelée « vaccination »). L’outil s’assure ensuite, en temps réel, que ces fichiers ne changent pas de taille en recalculant le hashcode et en le comparant à la valeur de référence initialement calculée, chaque fois que le fichier est sollicité (on access). Le truc est donc simple. Le calcul du hashcode d’un fichier donné est réputé être modifié dès qu’un seul bit du document est modifié. Il ne peut y avoir 2 hashcodes identiques pour 2 fichiers différents ou 2 versions du même fichier. Je crois que Guillermito avait démontré une faille de Viguard qui utilisait un hashcode proche de CRC32, c’est-à-dire un hashcode très faible et très aisé à circonvenir (c’était en 2001 sur des versions 9 de Viguard). Peu importe ! La question n’est pas là. La question est : est-ce que les systèmes de contrôle d’intégrité sont fiables aujourd’hui ? Est-il possible de modifier un fichier (donc d’y injecter un parasite) et que le hashcode de ce fichier modifié soit identique à l’original ? Eh bien, en ce qui concerne l’algorithme MD5, largement utilisé, il est désormais possible de produire des collisions donc les systèmes de contrôle d’intégrité ne sont plus fiables. Le problème est que calculer un hashcode avec un algorithme plus « dur » produisant un hashcode plus long est très consommateur de puissance de calcul et ne peut pas être implémenté sans incidence. Recherches Google "MD5 collisions" Donc, retour aux produits à base de signatures et d'analyses heuristiques. Anecdote : Eyal Dotan est Directeur Recherche & Développement TEGAM International Sur cette page, on trouve un Eyal Dotan, « Professeur d'attaque et protection logique » Cordialement Pierre 18 mai 2005

Il y a l'art et la manière. C'est la manière qui à foutu en boule toute la communauté contre Tegam et l'affaire Guillermito qui a fini de cristalliser la haine contre cette société et la sympathie, dont la mienne, acquise depuis longtemps, envers Guillermito. Viguard ne vaut plus un pét dans les actifs de cette société et même s'ils ont organisé leur insolvabilité ou dépouillé le bébé en cédant une licence à un troll de leur famille ou autre avant de se mettre en cessation de paiement, le produit n'émergera plus, même sous un autre nom. Il est dépassé par la même licence ViGUARD qu'ils avaient vendu 1.1M$ à InDefense et qui continue d'évoluer séparément et par InVircible du véritable père de ViGUARD. Mais, techniquement, pour le produit lui-même, arrêtez de cracher dessus. On ne peut pas regarder avec les yeux de Chimène, des produits similaires comme SSM, ProcessGuard etc. ... et cracher sur ViGUARD. Le produit avait les défauts de ses qualités (difficile à mettre en oeuvre et à utiliser, coûteux à l'usage, faille de sécurité... comme les autres). C'est la société Tegam qui est à gifler, elle et sa manière, pas le produit (qui, je le répète, n'est pas d'elle mais provient d'un vol de brevet comme le martèle l'auteur floué du produit, Zvi Netiv). J’ai envoyé un communiqué aux journalistes informatiques européens (environ 400) qui n’étaient, à priori, pas informés. Depuis hier, ça commence à fuser de partout. Jusqu’à avant-hier, mes outils de veille sur Tegam et ViGUARD ne signalaient que l’émergence de la version d’essai gratuite. Un coup de bluff ou une dernière tentative de valorisation durant l’établissement de l’actif par le liquidateur, ou un coup de Jarnac ? Cordialement Pierre 20 mai 2005

C

C

C

C

C

C

C

C

C

C

C