On dirait que le monde s’acharne sur Sony à propos de sa protection contre la copie. Maintenant, c’est une autre protection qui est mise en cause. La précédente était la protection XCP, maintenant le problème vient de la protection MediaMax. Contrairement à la précédente, beaucoup de disques sont là en cause. En effet, les disques protégés par cette protection, proposent l’installation d’un logiciel à l’insertion du disque dans un ordinateur. Le contrat utilisateur s’affiche alors, en présentant l’installation d’un logiciel, avec accord de l’utilisateur (le fameux EULA). Seulement, que l’utilisateur accepte, ou pas, le logiciel s’installe alors ! Et bien sûr, il ne peut être désinstallé, la procédure de désinstallation n’ayant pas été prévue par l’éditeur… Et que trouve-t-on dans cette installation ? Une connexion vers le site de l’éditeur (SunnComm) à chaque lecture du CD. L’éditeur peut alors suivre les habitudes de lectures associées aux adresses IP des utilisateurs… Et celà, malgré le fait que le EULA spécifie qu’aucune collecte d’informations personnelles ne soit effectuées, et que le site web de SunnComm précise qu’aucune information n’est collectée sur l’ordinateur. C’est suffisemment sérieux pour que l’EFF prépare une procédure en justice !
Les infos sur le site de l’EFF
Pas de collecte d’information sur le site de SunnComm
Ayant été absent toute la semaine dernière, pas facile de suivre l’actualité autour de cette news. Mais ça prend des proportions surprenantes. Alors, après le principe même d’utiliser un rootkit (manoeuvre pour le moins osée et dangereuse), après les risques de crash en cas de désinstallation manuelle du rootkit, l’accès à un serveur Sony/BMG à chaque chargement du disque sur la machine on peut maintenant ajouter quelques autres petites choses… En effet, le mediaplayer fourni avec le disque contient des parties de code qui était sous licence GPL. Le code du médiaplayer n’étant pas sous licence GPL, il s’agit ici d’une violation de la licence. Dans les logiciels piratés par le fournisseur de Sony, on peut citer VLC, Lame encoder… Un logiciel qui se veut garantir la propriété intellectuelle des ayant droit qui est basé sur du vol de code source, c’est quand même assez fort !
Un autre problème a également été relevé par B. Schneier sur son blog et dans son article sur Wired. Il s’agit du comportement des éditeurs d’antivirus. En effet, à part l’éditeur F-Secure, les autres éditeurs n’ont pas été très actifs pour éliminer ce programme ! Par exemple, MacAfee n’a pas détecté ce programme avant le 9 Novembre (rappelons que M. Russinovich a posté l’article décrivant le rootkit le 31 octobre). De plus, au 15 novembre, MacAfee n’avait pas inclus de routine permettant de désinstaller le rootkit. De la même manière, Symantec ne considérait pas le logiciel comme malin au 15 novembre puisque le « but » du logiciel était une application légitime (assurer la protection des droits d’auteurs). Quelle confiance accorder alors à de tels éditeurs ? Un logiciel aussi dangereux ne vaut pas la peine d’être détecté ou éliminé car il vient d’une multinationale ? Ce n’est pas très professionnel.
Devant la pression actuelle (tout à commencé sur quelques blogs, dont celui-ci, pour ensuite atteindre les médias classiques), Sony a décidé de ne plus sortir de CDs avec cette protection. Il a également émis la possibilité de retourner de tels CDs contre une version du CD sans protection. Et Sony a également fait son Méa Culpa. D’après Sony/BMG, il n’y a pas eu de disques utilisant cette protection vendus en France. Mais devant la grande quantité de rootkits maintenant installés (d’après certaines estimations, pas loin de 500 000 ordinateurs infectés, donc du même ordre de grandeur que les grandes infections de virii passées (Code Red et autres Nimda)) combien de personnes s’en rendront comptes, et combien demanderont une version correcte du CD ?
On peut donc aujourd’hui se poser la question sur les conséquences de la publication de ce rootkit. Sony/BMG a acquis ici une mauvaise réputation, mais pour combien de temps ? L’actualité actuelle sur le droit d’auteur, et notamment sur la directive de transposition de la DADVSI permettrait de rendre illégal le contournement d’une méthode de protection installée par un éditeur. Se trouver dans cette situation est assez dangereuse, car on autorise un éditeur à détruire complètement le modèle de sécurité du système d’exploitation…
Les liens de cet article:
Code GPL et LGPL chez Sony, sur Slashdot
?tude du rootkit et du player de Sony
Article de la presse classique sur le rootkit
L’article sur Wired de B. Schneier sur la vérité derrière les annonces
Un des articles sur le blog de B. Schneier
?a fait très feuilleton à rebondissement, et pourtant… De nouvelles informations arrivent concernant le rootkit de Sony, comme évoqué dans mes deux précédents billets. Notamment que contrairement à ce qu’a annoncé Sony, leur mediaplayer utilisant le rootkit, se connecte sur le site de Sony à chaque lancement. En effet, Mark Russinovich (encore lui) a publié sur son blog les détails de la connexion, détectée par un de ses lecteurs. En fait, dès qu’un disque protégé est lu par le mediaplayer, celui-ci se connecte sur le serveur de Sony en donnant ce qui semble être une référence du disque, et un fichier est éventuellement mis à jour en retour. Alors la grande question est de savoir ce que fait Sony de cette information. Même s’ils n’exploitent pas directement le fait qu’on se connecte sur leur serveur, rien ne les empêche de le faire. Car avec cette connexion, ils ont l’heure à laquelle on a mis le CD en lecture, notre adresse IP. Il faut bien comprendre que cette information est envoyée à chaque lecture du CD et pas seulement la première fois.
Niveau intrusion dans la vie privée, ils font quand même assez fort… Et leur annonce de ne pas utiliser ces informations n’est pas plus rassurante que le reste, car s’ils ne les utilisent pas aujourd’hui, rien ne les empêche de les utiliser plus tard, puisque ces infos sont directement présentes dans les fichiers de logs de leurs serveur Web !
?a n’a pas traîné. Depuis l’affaire rootkit installé par des CD audios de chez Sony-BMG (voir l’article) découverte par Mark Russinovich, Sony a publié un patch permettant de désinstaller le rootkit. Tout en annonçant que ce « composant » ne remet pas en question la sécurité du système… Est-ce bien sûr ? J’évoquais déjà la possibilité à des pirates d’utiliser la présence du rootkit pour masquer leurs activités. C’est presque ce qui a été découvert. Des tricheurs du jeu Worl Of Warcraft se sont vite rendus compte qu’ils pouvaient contourner les outils anti-triche de l’éditeur (Blizzard) en utilisant justement le rootkit fourni par SonyBMG…
Annoncer que le procédé est absolument sans danger, comme le laisse supposer l’annonce de Sony n’est pas très sérieuse. La présence même d’un rootkit compromet l’utilisation normale de la machine. En effet, les mécanismes de sécurités standards du système reposent sur l’idée qu’ils peuvent voir ce qui se passe sur la machine. Or, dans le cas d’un tel rootkit, ils ne peuvent se rendre compte de l’exécution des programmes situés dans un dossier dont le nom commence par $sys$, ou d’un exécutable ayant le même préfixe. Ce qui peut facilement permettre l’installation d’un virus sur la machine, à l’insu des anti-virus installés par exemple. L’affaire est donc à prendre très au sérieux. Et les gens ayant été « contaminés » par ce rootkit sans le savoir risquent bien de voir rapidement la sécurité de leur machine fortement affaiblie.
En tous cas, l’affaire n’est pas passée inaperçue. En plus des liens ci dessus, ça en parle sur Freedom To Tinker, sur The Register, ou en français sur le blog de Frederic Bezies, ou sur IlloGeek entres autres…
Afin de protéger leurs CD contre la copie pirate, les éditeurs de musique utilisent diverses méthodes. Une des méthodes classiques consiste à mettre en place des systèmes anti-copie directement sur leurs CD. ?a engendre un certain nombre de problèmes (non lecture dans certains auto-radios ou sur certaines platines CD/DVD par exemple), mais le soucis rencontré ici est nettement plus grave à mon avis. En effet, un ingénieur, Mark Russinovich, a eu une très désagréable surprise sur son ordinateur. Il est l’auteur d’un ensemble d’utilitaires permettant d’effectuer diverses tâches d’observation, et de modification de Windows. En essayant un logiciel capable de détecter ce que l’on appelle un rootkit, il s’est rendu compte qu’une de ses machines était infectée. Un rootkit est un programme ayant pour but de masquer sa propre activité, ainsi que l’activité d’autres programmes, à l’ensemble du système. Ainsi, quand un rootkit est installé, on ne sait pas si d’autres programmes fontionnent, hors de ceux qui sont visibles sur la machine. C’est en général utilisé par des pirates pour prendre contrôle de la machine, et pouvoir l’utiliser complètement sans que l’utilisateur légitime s’en rende compte.
Mark Russinovich détaille sur son Blog, son expérience. Une fois qu’il s’est rendu compte qu’un rootkit masquait toutes les activités des programmes présents dans un répertoire commençant pas $sys$, il a commencé à rechercher d’où pouvait bien venir ce rootkit. Après investigation, il s’est rendu compte que la lecture sur son ordinateur du CD Get Right with the Man du groupe Van Zant brothers, installait le rootkit à son insu. Plus fort encore, il n’est pas possible de désinstaller facilement ce rootkit. L’effacement pur est simple du répertoire contenant les éléments du root kit (donc le répertoire commençant par $sys$) enlevant bien une partie du programme, mais rend le lecteur CD inutilisable.
Pour comprendre comment celà s’est passé, il fuat savoir que ce genre de CD protégé n’est pas directement lisible par Windows. Au contraire, dès que l’on cherche à le lire, un lecteur multimédia spécifique est alors lancé pour permettre la lecture protégée de l’album. De même, grâce à cette technique, il est possible de copier le CD uniquement le nombre de fois prévue par la maison de disque. Au moins, cette protection a l’avantage de permettre la réalisation de la copie privée. Et c’est lors de l’exécution de ce lecteur multimédia que le rootkit est installé. Et le lecteur fonctionne conjointement avec le rootkit pour protéger le contenu de l’oeuvre sur le CD.
De plus, le rootkit a une activité non négligeable sur les performances de la machine, puisqu’il va scanner les fichiers exécutables correspondants aux programmes en cours de fonctionnement sur la machine. Il le fait toutes les deux secondes, et surtout, il les scanne 8 fois à chaque passage ! Bref, de quoi rapidement faire chuter la performance d’une machine. Apparemment, rien n’indique que ces informations soient stockées et réutilisées, on peut vraiment se demander si la protection d’une oeuvre justifie un tel comportement.
En effet, l’utilisation du CD sur la machine va installer le fameux rootkit, sans en avertir l’utilisateur, sans possibilité de le désinstaller. Ce rootkit est une intrusion flagrande dans la sécurité de la machine. Car si notre homme a découvert le rootkit, il est presque certain que des pirates l’ont aussi découvert. Et peuvent facilement l’utiliser pour corrompre la machine, et l’utiliser à des fins illicites sans que l’utilisateur légitime ne puisse le remarquer directement.
Cette nouvelle a été lue sur Slashdot, sur le blog de Mark Russinovich, et également sur le blog sécurité de B. schneier.
admin
yves