Trent Reznor, le provocateur leader du groupe Nine Inch Nails (NiN) a réussi son pari. En effet, leur dernier album Ghosts I-IV est sorti sur un site web dédié (http://ghosts.nin.com/), avec plusieurs façons de l’obtenir. L’album se composant de 36 pistes, il est possible de les télécharger à des formats réellement intéressants (MP3 320, mais surtout FLAC ou Apple Lossless) et sans aucun DRM pour 5 petits dollars. Avec le taux actuel du dollar, c’est vraiment bon marché. Mais il y a mieux encore. Les 9 premières pistes sont gratuitement téléchargeables en MP3 320, sans DRM, un livret de 40 pages en PDF et quelques extras. Evidemment, il y a d’autres options, le double CD est disponible aussi, ainsi qu’une édition deluxe avec un dvd, un blu-ray, bref pleins de choses intéressantes. Et enfin, le top du top, l’utra deluxe limited edition à un prix de 300 $, édition en vinyle, signée, enfin, une vraie édition collector, limitée à 2500 exemplaires. C’est cette dernière édition qui défraie la chronique. En effet, en une journée l’ensemble des 2500 exemplaires ont été vendus, générant ainsi un chiffre d’affaire de 750 000 dollars.
Libérés de leurs obligations avec les maisons de disques, ces gros artistes recherchent une vraie alternative à la vente de CDs sur le déclin.
Il est intéressant de remarquer également que NiN distribue sa musique sous une licence CC (CC by-nc-sa) permettant de redistribuer, de remixer les morceaux, tant qu’il n’y en a pas une utilisation commerciale. Si elle démarre bien, cette vente est à surveiller attentivement. Elle préfigure peut être notre manière d’acheter de la musique dans quelques années.

On dirait que le monde s’acharne sur Sony à propos de sa protection contre la copie. Maintenant, c’est une autre protection qui est mise en cause. La précédente était la  protection XCP, maintenant le problème vient de la protection MediaMax. Contrairement à la précédente, beaucoup de disques sont là en cause. En effet, les disques protégés par cette protection, proposent l’installation d’un logiciel à l’insertion du disque dans un ordinateur. Le contrat utilisateur s’affiche alors, en présentant l’installation d’un logiciel, avec accord de l’utilisateur (le fameux EULA). Seulement, que l’utilisateur accepte, ou pas, le logiciel s’installe alors ! Et bien sûr, il ne peut être désinstallé, la procédure de désinstallation n’ayant pas été prévue par l’éditeur… Et que trouve-t-on dans cette installation ? Une connexion vers le site de l’éditeur (SunnComm) à chaque lecture du CD. L’éditeur peut alors suivre les habitudes de lectures associées aux adresses IP des utilisateurs… Et celà, malgré le fait que le EULA spécifie qu’aucune collecte d’informations personnelles ne soit effectuées, et que le site web de SunnComm précise qu’aucune information n’est collectée sur l’ordinateur. C’est suffisemment sérieux pour que l’EFF prépare une procédure en justice !

Les infos sur le site de l’EFF
Pas de collecte d’information sur le site de SunnComm

Ayant été absent toute la semaine dernière, pas facile de suivre l’actualité autour de cette news. Mais ça prend des proportions surprenantes. Alors, après le principe même d’utiliser un rootkit (manoeuvre pour le moins osée et dangereuse), après les risques de crash en cas de désinstallation manuelle du rootkit, l’accès à un serveur Sony/BMG à chaque chargement du disque sur la machine on peut maintenant ajouter quelques autres petites choses… En effet, le mediaplayer fourni avec le disque contient des parties de code qui était sous licence GPL. Le code du médiaplayer n’étant pas sous licence GPL, il s’agit ici d’une violation de la licence. Dans les logiciels piratés par le fournisseur de Sony, on peut citer VLC, Lame encoder… Un logiciel qui se veut garantir la propriété intellectuelle des ayant droit qui est basé sur du vol de code source, c’est quand même assez fort !
Un autre problème a également été relevé par B. Schneier sur son blog et dans son article sur Wired. Il s’agit du comportement des éditeurs d’antivirus. En effet, à part l’éditeur F-Secure, les autres éditeurs n’ont pas été très actifs pour éliminer ce programme ! Par exemple, MacAfee n’a pas détecté ce programme avant le 9 Novembre (rappelons que M. Russinovich a posté l’article décrivant le rootkit le 31 octobre). De plus, au 15 novembre, MacAfee n’avait pas inclus de routine permettant de désinstaller le rootkit. De la même manière, Symantec ne considérait pas le logiciel comme malin au 15 novembre puisque le « but » du logiciel était une application légitime (assurer la protection des droits d’auteurs). Quelle confiance accorder alors à de tels éditeurs ? Un logiciel aussi dangereux ne vaut pas la peine d’être détecté ou éliminé car il vient d’une multinationale ? Ce n’est pas très professionnel.
Devant la pression actuelle (tout à commencé sur quelques blogs, dont celui-ci, pour ensuite atteindre les médias classiques), Sony a décidé de ne plus sortir de CDs avec cette protection. Il a également émis la possibilité de retourner de tels CDs contre une version du CD sans protection. Et Sony a également fait son Méa Culpa. D’après Sony/BMG, il n’y a pas eu de disques utilisant cette protection vendus en France. Mais devant la grande quantité de rootkits maintenant installés (d’après certaines estimations, pas loin de 500 000 ordinateurs infectés, donc du même ordre de grandeur que les grandes infections de virii passées (Code Red et autres Nimda)) combien de personnes s’en rendront comptes, et combien demanderont une version correcte du CD ?

On peut donc aujourd’hui se poser la question sur les conséquences de la publication de ce rootkit. Sony/BMG a acquis ici une mauvaise réputation, mais pour combien de temps ? L’actualité actuelle sur le droit d’auteur, et notamment sur la directive de transposition de la DADVSI permettrait de rendre illégal le contournement d’une méthode de protection installée par un éditeur. Se trouver dans cette situation est assez dangereuse, car on autorise un éditeur à détruire complètement le modèle de sécurité du système d’exploitation…

Les liens de cet article:
Code GPL et LGPL chez Sony, sur Slashdot
?tude du rootkit et du player de Sony
Article de la presse classique sur le rootkit
L’article sur Wired de B. Schneier sur la vérité derrière les annonces
Un des articles sur le blog de B. Schneier

?a fait très feuilleton à rebondissement, et pourtant… De nouvelles informations arrivent concernant le rootkit de Sony, comme évoqué dans mes deux précédents billets. Notamment que contrairement à ce qu’a annoncé Sony, leur mediaplayer utilisant le rootkit, se connecte sur le site de Sony à chaque lancement. En effet, Mark Russinovich (encore lui) a publié sur son blog les détails de la connexion, détectée par un de ses lecteurs. En fait, dès qu’un disque protégé est lu par le mediaplayer, celui-ci se connecte sur le serveur de Sony en donnant ce qui semble être une référence du disque, et un fichier est éventuellement mis à jour en retour. Alors la grande question est de savoir ce que fait Sony de cette information. Même s’ils n’exploitent pas directement le fait qu’on se connecte sur leur serveur, rien ne les empêche de le faire. Car avec cette connexion, ils ont l’heure à laquelle on a mis le CD en lecture, notre adresse IP. Il faut bien comprendre que cette information est envoyée à chaque lecture du CD et pas seulement la première fois.
Niveau intrusion dans la vie privée, ils font quand même assez fort… Et leur annonce de ne pas utiliser ces informations n’est pas plus rassurante que le reste, car s’ils ne les utilisent pas aujourd’hui, rien ne les empêche de les utiliser plus tard, puisque ces infos sont directement présentes dans les fichiers de logs de leurs serveur Web !

?a n’a pas traîné. Depuis l’affaire rootkit installé par des CD audios de chez Sony-BMG (voir l’article) découverte par Mark Russinovich, Sony a publié un patch permettant de désinstaller le rootkit. Tout en annonçant que ce « composant » ne remet pas en question la sécurité du système… Est-ce bien sûr ? J’évoquais déjà la possibilité à des pirates d’utiliser la présence du rootkit pour masquer leurs activités. C’est presque ce qui a été découvert. Des tricheurs du jeu Worl Of Warcraft se sont vite rendus compte qu’ils pouvaient contourner les outils anti-triche de l’éditeur (Blizzard) en utilisant justement le rootkit fourni par SonyBMG…

Annoncer que le procédé est absolument sans danger, comme le laisse supposer l’annonce de Sony n’est pas très sérieuse. La présence même d’un rootkit compromet l’utilisation normale de la machine. En effet, les mécanismes de sécurités standards du système reposent sur l’idée qu’ils peuvent voir ce qui se passe sur la machine. Or, dans le cas d’un tel rootkit, ils ne peuvent se rendre compte de l’exécution des programmes situés dans un dossier dont le nom commence par $sys$, ou d’un exécutable ayant le même préfixe. Ce qui peut facilement permettre l’installation d’un virus sur la machine, à l’insu des anti-virus installés par exemple. L’affaire est donc à prendre très au sérieux. Et les gens ayant été « contaminés » par ce rootkit sans le savoir risquent bien de voir rapidement la sécurité de leur machine fortement affaiblie.

En tous cas, l’affaire n’est pas passée inaperçue. En plus des liens ci dessus, ça en parle sur Freedom To Tinker, sur The Register, ou en français sur le blog de Frederic Bezies, ou sur IlloGeek entres autres…

Afin de protéger leurs CD contre la copie pirate, les éditeurs de musique utilisent diverses méthodes. Une des méthodes classiques consiste à mettre en place des systèmes anti-copie directement sur leurs CD. ?a engendre un certain nombre de problèmes (non lecture dans certains auto-radios ou sur certaines platines CD/DVD par exemple), mais le soucis rencontré ici est nettement plus grave à mon avis. En effet, un ingénieur, Mark Russinovich, a eu une très désagréable surprise sur son ordinateur. Il est l’auteur d’un ensemble d’utilitaires permettant d’effectuer diverses tâches d’observation, et de modification de Windows. En essayant un logiciel capable de détecter ce que l’on appelle un rootkit, il s’est rendu compte qu’une de ses machines était infectée. Un rootkit est un programme ayant pour but de masquer sa propre activité, ainsi que l’activité d’autres programmes, à l’ensemble du système. Ainsi, quand un rootkit est installé, on ne sait pas si d’autres programmes fontionnent, hors de ceux qui sont visibles sur la machine. C’est en général utilisé par des pirates pour prendre contrôle de la machine, et pouvoir l’utiliser complètement sans que l’utilisateur légitime s’en rende compte.
Mark Russinovich détaille sur son Blog, son expérience. Une fois qu’il s’est rendu compte qu’un rootkit masquait toutes les activités des programmes présents dans un répertoire commençant pas $sys$, il a commencé à rechercher d’où pouvait bien venir ce rootkit. Après investigation, il s’est rendu compte que la lecture sur son ordinateur du CD Get Right with the Man du groupe Van Zant brothers, installait le rootkit à son insu. Plus fort encore, il n’est pas possible de désinstaller facilement ce rootkit. L’effacement pur est simple du répertoire contenant les éléments du root kit (donc le répertoire commençant par $sys$) enlevant bien une partie du programme, mais rend le lecteur CD inutilisable.
Pour comprendre comment celà s’est passé, il fuat savoir que ce genre de CD protégé n’est pas directement lisible par Windows. Au contraire, dès que l’on cherche à le lire, un lecteur multimédia spécifique est alors lancé pour permettre la lecture protégée de l’album. De même, grâce à cette technique, il est possible de copier le CD uniquement le nombre de fois prévue par la maison de disque. Au moins, cette protection a l’avantage de permettre la réalisation de la copie privée. Et c’est lors de l’exécution de ce lecteur multimédia que le rootkit est installé. Et le lecteur fonctionne conjointement avec le rootkit pour protéger le contenu de l’oeuvre sur le CD.
De plus, le rootkit a une activité non négligeable sur les performances de la machine, puisqu’il va scanner les fichiers exécutables correspondants aux programmes en cours de fonctionnement sur la machine. Il le fait toutes les deux secondes, et surtout, il les scanne 8 fois à chaque passage ! Bref, de quoi rapidement faire chuter la performance d’une machine. Apparemment, rien n’indique que ces informations soient stockées et réutilisées, on peut vraiment se demander si la protection d’une oeuvre justifie un tel comportement.

En effet, l’utilisation du CD sur la machine va installer le fameux rootkit, sans en avertir l’utilisateur, sans possibilité de le désinstaller. Ce rootkit est une intrusion flagrande dans la sécurité de la machine. Car si notre homme a découvert le rootkit, il est presque certain que des pirates l’ont aussi découvert. Et peuvent facilement l’utiliser pour corrompre la machine, et l’utiliser à des fins illicites sans que l’utilisateur légitime ne puisse le remarquer directement.

Cette nouvelle a été lue sur Slashdot, sur le blog de Mark Russinovich, et également sur le blog sécurité de B. schneier.

Certains musiciens commencent à comprendre l’intérêt qu’ils ont à ce que leur musique soit plus facilement diffusée. Et devant les fans se plaignent de ne pouvoir mettre leurs musiques sur leurs baladeurs MP3 comme leurs iPods par exemple, certains musiciens et même certaines maisons de disques (sony bmg notamment) expliquent comment contourner de telles protections… Que dire de la légalité de tout ça, une maison de disque qui interdit la copie grâce des DRM, mais qui explique comment les contourner sur son propre site web. ?trange, très surprenant même…

Lu sur le blog sécurité de B. Schneier et sur le site de CNN

Cette nouvelle va à l’opposé de ce que tout le monde pense aujourd’hui. Et pourtant, la publication des statistiques de ventes pour le premier semestre 2005 est sans ambiguité : + 5,1 % de ventes en volume, mais baisse en chiffre d’affaire de 2,7 %. De plus, si la vente matérielle de disques est en baisse (ce qui reste complètement normal dans l’économie et le marché actuel), l’explosion de la vente en ligne la compense largement (près de 100% d’augmentation, de 5,8 % pour la même période de 2004, à 11,3% aujourd’hui). Encore plus fort, le chiffre d’affaire de la vente en ligne est passé de 800 000 ?? à 3,8 millions ?? entre le premier semestre 2004 et le premier semestre 2005, soit 475% d’augmentation. Alors au lieu de diaboliser le téléchargement de musique par Internet, l’industrie du disque devrait vraiment se remettre en question et adapter son modèle, histoire de ne pas passer à coté du train lui permettant une mutation logique vers les nouvelles demandes de la part de ses clients, c’est à dire nous…

L’info vient d’un article de Libération, mais on peut également mentionner le site SNEP.

Un récent post de Tariq sur l’excellent blog generationmp3 parle de la récente condamnation de KaZaA face à la justice australienne. Pour aller un peu plus loin, il analyse le comportement plus que cavalier des auteurs du logiciel, revendant à prix d’or les informations personnelles des utilisateurs du logiciel. Bref, un post à lire et à méditer (en français qui plus est…).