Ayant été absent toute la semaine dernière, pas facile de suivre l’actualité autour de cette news. Mais ça prend des proportions surprenantes. Alors, après le principe même d’utiliser un rootkit (manoeuvre pour le moins osée et dangereuse), après les risques de crash en cas de désinstallation manuelle du rootkit, l’accès à un serveur Sony/BMG à chaque chargement du disque sur la machine on peut maintenant ajouter quelques autres petites choses… En effet, le mediaplayer fourni avec le disque contient des parties de code qui était sous licence GPL. Le code du médiaplayer n’étant pas sous licence GPL, il s’agit ici d’une violation de la licence. Dans les logiciels piratés par le fournisseur de Sony, on peut citer VLC, Lame encoder… Un logiciel qui se veut garantir la propriété intellectuelle des ayant droit qui est basé sur du vol de code source, c’est quand même assez fort !
Un autre problème a également été relevé par B. Schneier sur son blog et dans son article sur Wired. Il s’agit du comportement des éditeurs d’antivirus. En effet, à part l’éditeur F-Secure, les autres éditeurs n’ont pas été très actifs pour éliminer ce programme ! Par exemple, MacAfee n’a pas détecté ce programme avant le 9 Novembre (rappelons que M. Russinovich a posté l’article décrivant le rootkit le 31 octobre). De plus, au 15 novembre, MacAfee n’avait pas inclus de routine permettant de désinstaller le rootkit. De la même manière, Symantec ne considérait pas le logiciel comme malin au 15 novembre puisque le « but » du logiciel était une application légitime (assurer la protection des droits d’auteurs). Quelle confiance accorder alors à de tels éditeurs ? Un logiciel aussi dangereux ne vaut pas la peine d’être détecté ou éliminé car il vient d’une multinationale ? Ce n’est pas très professionnel.
Devant la pression actuelle (tout à commencé sur quelques blogs, dont celui-ci, pour ensuite atteindre les médias classiques), Sony a décidé de ne plus sortir de CDs avec cette protection. Il a également émis la possibilité de retourner de tels CDs contre une version du CD sans protection. Et Sony a également fait son Méa Culpa. D’après Sony/BMG, il n’y a pas eu de disques utilisant cette protection vendus en France. Mais devant la grande quantité de rootkits maintenant installés (d’après certaines estimations, pas loin de 500 000 ordinateurs infectés, donc du même ordre de grandeur que les grandes infections de virii passées (Code Red et autres Nimda)) combien de personnes s’en rendront comptes, et combien demanderont une version correcte du CD ?
On peut donc aujourd’hui se poser la question sur les conséquences de la publication de ce rootkit. Sony/BMG a acquis ici une mauvaise réputation, mais pour combien de temps ? L’actualité actuelle sur le droit d’auteur, et notamment sur la directive de transposition de la DADVSI permettrait de rendre illégal le contournement d’une méthode de protection installée par un éditeur. Se trouver dans cette situation est assez dangereuse, car on autorise un éditeur à détruire complètement le modèle de sécurité du système d’exploitation…
Les liens de cet article:
Code GPL et LGPL chez Sony, sur Slashdot
?tude du rootkit et du player de Sony
Article de la presse classique sur le rootkit
L’article sur Wired de B. Schneier sur la vérité derrière les annonces
Un des articles sur le blog de B. Schneier