Et pour une fois je ne parle pas de l'administration Bush, mais de Sony BMG et de leur (initialement secret et maintenant) fameux RootKit DRM (qu'ils appellent XCP Content Protection).
Préambule: La technologie RootKit est discutée depuis plusieurs mois dans la communauté des spécialistes sécurité et système, car elle permet de rendre parfaitement invisible des fichiers ou des process d'un PC. Même en étant administrateur, même en sachant où est le fichier, vous ne le verrez jamais apparaitre dans une fenêtre ou un programme Windows s'il est masqué par un RootKit. Evidemment les auteurs de virus, spyware, et autre malware se sont rués sur cette technologie pour se rendre invisible des utilisateurs légitimes et des anti-virus. D'où l'apparition d'outils qui permettent de détecter qu'un RootKit a été installé sur une machine.
Le 31 octobre, pour Halloween, Mark Russinovitch découvre par hasard que son PC est infecté par un RootKit. Comme c'est un expert système réputé, il connait bien sa machine et est très prudent sur ce qu'il y installe. Il investigue donc et identifie rapidement que la source de la contamination est un CD audio Sony BMG acheté légalement, qui a réussi à installer ce RootKit sans sa permission. Immédiatement il publie l'information sur son blog.
Cette information fait immédiatement le tour de la communauté sécurité informatique. La technologie des RootKits est très sensibles, donc il faut faire très attention à ce qu'on fait d'une part, et d'autre part un RootKit largement diffusé peut être la cible de virus, chevaux de troie ou spyware divers qui vont s'installer au même endroit pour bénéficier de l'invisibilité procurée. D'ailleurs à peu près au même moment un premier cas est référencé. De plus évidemment il est quasiment impossible de désinstaller le RootKit puisque par construction il est invisible et donc aucune commande (à part reformatter le disque) n'a d'effet sur lui. Et de toutes façons si vous réussissez à effacer les fichiers votre PC ne marche plus !
Dans un premier temps Sony BMG se contente de reconnaître que certains de ses CD audios (on finira par apprendre que cela concerne une cinquantaine de titres) installent effectivement un RootKit qui masque la technologie de Digital Rights Management (DRM) qu'ils utilisent pour essayer d'empêcher les utilisations qu'ils jugent illégales de la musique sur un PC. Ils nient tout problème de sécurité, un responsable de Sony BMG étant même cité sur la National Public Radio en disant "la majorité des gens ne sais même pas ce qu'est un RootKit, alors pourquoi ça les dérange"!
C'est pourtant pas compliqué à comprendre: c'est mon ordinateur c'est moi qui décide ce qui est installé dessus, personne d'autre; d'ailleurs certains états américains ont des lois afin de prévenir des telles intrusions non sollicitées sur les ordinateurs personnels, et l'attorney general du Texas a porté plainte contre Sony BMG.
L'arrogance dont ils font preuve en bafouant ainsi les droits du plus grand nombre, en espérant ainsi maximiser leur profit à tout prix, me parait tout simplement abjecte. Une telle société ne respecte pas ses clients, ni les artistes qui lui ont fait confiance et qui se retrouvent bien malgré eux porte drapeaux d'une activité nuisant activement à leurs fans.
Enfin, ils finissent par reconnaître qu'ils devraient permettre au moins de désinstaller ce qu'ils ont installé et promettent de fournir une solution. Et là ils commencent à illustrer leur incompétence abyssale. Ils commencent par ne donner qu'une procédure qui se content de rendre les fichiers visibles, mais ne les désinstalle pas. Comme le fait de les effacer rend le PC inutilisable on n'est pas très avancé. Alors ils finissent par donner accès, par une procédure administrative compliquée dont je vous passe les détails, à un site web qui permet de désinstaller le RootKit DRM. Mais pour effectuer cette tâche, il commence par installer un ActiveX sur le PC. Cet ActiveX s'y prend en plusieurs étapes et doit à deux reprises envoyer sur le site de SonyBMG un identifiant de votre machine, pour des raisons qui m'échappent mais qui 1) sont injustifiables je n'ai aucune envie que quelque information que ce soit de mon PC aille chez Sony BMG, et 2) empêchent de déployer la procédure sur un réseau car l'ActiveX doit être installé sur chaque machine qui doivent individuellement communiquer avec le site de Sony BMG. Au passage le nombre de machines infectées se chiffre en centaines de milliers, dont beaucoup dans les grandes entreprises voire les réseaux de l'administration (y compris le Pentagone). Donc déjà y'a pas de quoi être fier. Mais le meilleur reste à venir...
Quelques jours après, on découvre que l'ActiveX ainsi installé pour désinstaller le RootKit DRM (vous suivez ?) est en fait scriptable et accessible depuis Internet puisqu'il doit communiquer avec le site de Sony BMG... Du coup c'est la porte ouverte sur votre PC pour toute personne un peu informée sur Internet (par exemple on peut depuis Internet rebooter votre machine). Donc pour corriger une faille de sécurité, ils ont réussi à en introduire une encore plus dangereuse! Même Microsoft n'arrive pas à en faire autant! A croire que George W. Bush a nommé autant de gens chez Sony BMG qu'à la FEMA...
Enfin la cerise sur le gateau qui réussi à démontrer à la fois leur arrogance et leur incompétence: on a découvert dans le code installé par Sony des traces de code open soure protégées par des licences libres qui n'ont pas été respectées par Sony BMG. Car bien sûr ils sont prêts à tout pour protéger leurs droits sur leur propriété intellectuelle, mais on peut parfaitement détourner la propriété intellectuelle des autres et ne pas respecter leur license : après tout le logiciel c'est tellement moins important que la musique.
Franchement, j'espère qu'ils ne se relèveront pas de ce désastre, car ils ne le méritent pas. Il parait que du coup la politique DRM en a pris un coup chez Sony BMG, et leur seul espoir serait de vraiment rompre avec ces pratiques et de se définir une politique qui exlut toute technologie DRM et positionne leur société comme apportant de la valeur ajoutée pas des contraintes à tous ses clients.
2005/11/24
L'arrogance le dispute à l'incompétence
Posted by AB at 00:01
Inscription à :
Publier les commentaires (Atom)
Aucun commentaire:
Enregistrer un commentaire