L'affaire du rootkit de Sony-BMG
En rapport avec le sujet du billet que j'avais promis précédemment, je vous invite à lire la saga des récents déboires de Sony-BMG.
Le sujet est peut-être un peu technique, mais concerne tout le monde. J'avais déjà failli faire un billet là-dessus, mais c'est pas plus mal maintenant, même si c'est moins frais, car on a l'histoire en son entier.
D'abord quelques généralités.
Sony-BMG est, rappelons le, une des quatre majors de l'industrie du disque. Comme c'est dans l'air du temps, Sony-BMG cherche à protéger ses galettes contre la copie. Depuis quelque temps, la firme munit donc ses produits de dispositifs anti-copie.
Ces dispositifs sont invisibles (sans effet) pour la plupart des appareils qui cherchent à lire les CDs en tant que CD audio normaux (CDDA), mais empêchent la lecture en "mode données" (qui permet de lancer une copie conforme depuis un PC, par exemple), à moins que le PC n'exécute le logiciel inclus sur le CD, qui autorise la recopie sous une forme "DRMisée". Le tout sous certaines conditions (en général forme compressée, avec perte de qualité, nombre de copies limitées, nombre de machines autorisées limitées). Tout ceci est relativement automatique et "transparent" sous Windows, grâce à la fonction autorun qui permet de lancer l'installation de ce logiciel dès l'insertion du CD. C'est dans les grandes lignes la technique employée par toutes les majors.
Cependant, dans la pratique, cette technique présente plusieurs problèmes. D'une part pour les maisons de disque, car la protection n'est pas fiable (je ne vais pas vous dire comment on la contourne, je risque d'être passible du délit de contrefaçon selon la loi qu'ils vont nous voter juste avant Noël... mais chut, ça c'est dans un prochain billet !). D'autre part pour l'utilisateur "honnête" qui ne cherche pas à contourner la protection, car nombre d'appareils ne lisent pas les CDs comme une bête platine de salon (c'est le cas de beaucoup d'autoradios, ou des PCs configurés pour faire transiter le son sous forme numérique entre le lecteur et la carte son) ; de plus l'utilisateur qui voudrait faire une simple copie de sauvegarde (dans son bon droit) ne peut pas le faire avec son PC sans contourner la protection. Et puis c'est sans compter les utilisateur de systèmes d'exploitation alternatifs comme Linux, pour lesquels le logiciel inclus n'est pas prévu (mais est-ce si grave, si l'on considère qu'un utilisateur de Linux doit certainement savoir comment détourner le dispositif, non ? En fait, oui, car le fait de détourner cette protection pourrait bientôt être considéré comme illégal.)
Fini pour les généralités. Passons aux aventures de Sony-BMG :
Il se trouve que Sony-BMG, récemment, a vendu des CDs munis d'un tel dispositif, nommé XCP et vendu par la société First 4 Internet. Mais voilà, il se trouve que, comme l'a mis en évidence l'expert en sécurité Mark Russinovitch, d'une part ce XCP s'installe qu'on réponde oui ou non à la question posée lors de l'insertion du CD, d'autre part le CD installe en fait un RootKit (un espèce de logiciel espion complètement dissimulé pour les moyens d'accès normaux du système d'exploitation, qui de plus n'est évidemment pas désinstallable) ouvrant d'énormes failles de sécurité dans Windows. Bref, du pur malware.
À partir de là, tout devient du n'importe quoi :
Le sujet est peut-être un peu technique, mais concerne tout le monde. J'avais déjà failli faire un billet là-dessus, mais c'est pas plus mal maintenant, même si c'est moins frais, car on a l'histoire en son entier.
D'abord quelques généralités.
Sony-BMG est, rappelons le, une des quatre majors de l'industrie du disque. Comme c'est dans l'air du temps, Sony-BMG cherche à protéger ses galettes contre la copie. Depuis quelque temps, la firme munit donc ses produits de dispositifs anti-copie.
Ces dispositifs sont invisibles (sans effet) pour la plupart des appareils qui cherchent à lire les CDs en tant que CD audio normaux (CDDA), mais empêchent la lecture en "mode données" (qui permet de lancer une copie conforme depuis un PC, par exemple), à moins que le PC n'exécute le logiciel inclus sur le CD, qui autorise la recopie sous une forme "DRMisée". Le tout sous certaines conditions (en général forme compressée, avec perte de qualité, nombre de copies limitées, nombre de machines autorisées limitées). Tout ceci est relativement automatique et "transparent" sous Windows, grâce à la fonction autorun qui permet de lancer l'installation de ce logiciel dès l'insertion du CD. C'est dans les grandes lignes la technique employée par toutes les majors.
Cependant, dans la pratique, cette technique présente plusieurs problèmes. D'une part pour les maisons de disque, car la protection n'est pas fiable (je ne vais pas vous dire comment on la contourne, je risque d'être passible du délit de contrefaçon selon la loi qu'ils vont nous voter juste avant Noël... mais chut, ça c'est dans un prochain billet !). D'autre part pour l'utilisateur "honnête" qui ne cherche pas à contourner la protection, car nombre d'appareils ne lisent pas les CDs comme une bête platine de salon (c'est le cas de beaucoup d'autoradios, ou des PCs configurés pour faire transiter le son sous forme numérique entre le lecteur et la carte son) ; de plus l'utilisateur qui voudrait faire une simple copie de sauvegarde (dans son bon droit) ne peut pas le faire avec son PC sans contourner la protection. Et puis c'est sans compter les utilisateur de systèmes d'exploitation alternatifs comme Linux, pour lesquels le logiciel inclus n'est pas prévu (mais est-ce si grave, si l'on considère qu'un utilisateur de Linux doit certainement savoir comment détourner le dispositif, non ? En fait, oui, car le fait de détourner cette protection pourrait bientôt être considéré comme illégal.)
Fini pour les généralités. Passons aux aventures de Sony-BMG :
Il se trouve que Sony-BMG, récemment, a vendu des CDs munis d'un tel dispositif, nommé XCP et vendu par la société First 4 Internet. Mais voilà, il se trouve que, comme l'a mis en évidence l'expert en sécurité Mark Russinovitch, d'une part ce XCP s'installe qu'on réponde oui ou non à la question posée lors de l'insertion du CD, d'autre part le CD installe en fait un RootKit (un espèce de logiciel espion complètement dissimulé pour les moyens d'accès normaux du système d'exploitation, qui de plus n'est évidemment pas désinstallable) ouvrant d'énormes failles de sécurité dans Windows. Bref, du pur malware.
À partir de là, tout devient du n'importe quoi :
- Sony reconnaît le problème et distribue un patch qui ne résoud pas tout (et crée d'autres problèmes)
- On se rend compte que non seulement XCP comporte un rootkit, mais de plus utiliserait allègrement du code sous licence GPL issu des projets Lame et VLC. (Pour les non geeks : normalement utiliser des morceaux de code sous licence GPL oblige à faire passer entièrement le produit dérivé sous Licence GPL, c'est à dire en open source. GPL est pour ainsi dire une licence libre contaminante... Imaginez l'ironie d'un logiciel tel XCP (esprit d'obscurite/antisme, fermeture, secret) mis sous licence GPL (ouverture, partage) ... )
- Sony retire de la vente les CDs concernés
- Microsoft, dans son logiciel anti-spyware, considère XCP comme nuisible (!!!)
- Les plaintes de consommateurs se multiplient
posté par Aldoo, le 26.11.05
0 Commentaires:
Enregistrer un commentaire
<< Home