Sony BMG s'est à nouveau offert une belle cure d'impopularité en attaquant ses clients et non les pirates. Un expert en sécurité a découvert qu'un système malicieux avait été dissimulé dans son système par un CD de la maison de disques librement vendu dans le commerce. Foudroyée par toute la presse, Sony BMG a diffusé la solution pour s'en débarasser.

Mark Russinovich a provoqué un véritable raz de marée de colère contre la maison de disques Sony BMG. En testant la dernière version du logiciel RootkitRevealer, l’expert en sécurité de Sysinternals.com a découvert qu’après avoir joué le disque Get Right with the Man des frères Van Zant sur son ordinateur, « Sony avait installé sur [son] système un logiciel qui utilise les techniques communément employées par les malwares pour dissimuler leur présence« . En termes d’experts : un rootkit. Selon Wikipedia, un rootkit est un « programme ou un ensemble de programmes permettant à un pirate de maintenir dans le temps un accès frauduleux à un système informatique« . Sony aurait donc utilisé des techniques de pirates dans ses protections par DRM.

Encore une fois, ce sont les procédés XCP de la société First 4 Internet qui font scandale. Sony BMG et EMI ont toutes les deux commercialisé des CD avec cette technologie de DRM, mais pour le moment seule Sony a été visée par l’affaire du rootkit. Sans doute la maison de disques germano-japonaise a-t-elle cru que tout était permis dans la lutte anti-piratage.

Sans doute n’a-t-elle pas compris, surtout, que les systèmes de protection apposés sur les CD commercialisés n’affectent que les consommateurs les plus loyaux qui sortent leur portefeuille pour acheter de la musique. Les autres, ceux qui utilisent eMule ou Soulseek, peuvent télécharger les mêmes albums au format MP3 en étant totalement sûrs de ne pas se retrouver avec un rootkit sur leur PC.

Et c’est un comble.

Le principe de précaution s’applique-t-il aux CD ?

Combien de fois l’industrie du disque a-t-elle accusée le P2P d’être dangereux pour la sécurité des internautes, en pointant du nez spywares, malwares et autres virus ?

Faut-il maintenant pointer du doigt les CD commercialisés comme étant dangereux pour la sécurité des consommateurs ?

Selon First 4 Internet, le procédé ne présenterait aucun danger pour l’utilisateur, et il aurait même été abandonné par Sony. Mais quel système utilisent-ils aujourd’hui ? Le fait même de vouloir dissimuler un procédé sur le PC du consommateur honnête est intolérable. L’accord de licence que doit « signer » l’utilisateur est mensonger, et parce que le rootkit est mal conçu, toute tentative de supprimer les fichiers cachés risque d’endommager le système. « Le problème ça n’est pas qu’ils aient utilisé une méthode de rootkit en particulier. Le problème c’est tout simplement qu’ils aient utilisé des méthodes de rootkit« , s’inquiète par ailleurs Edward Felten sur son blog. Le célèbre professeur a immédiatement demandé à Sony de sortir un patch pour désinstaller le rootkit.

C’est chose faite. Dans un communiqué publié tête basse, la maison de disques affirmait hier que « le composant n’est pas malicieux et ne comproment pas la sécurité de l’ordinateur« . Pour rassurer ses clients, Sony BMG indique tout de même l’adresse où télécharger le patch.

Mais peut-on avoir confiance dans un patch proposé par les auteurs du rootkit ? La question relève bien sûr du réflexe paranoïaque. En période de chute des ventes de poulets pour pseudo risque de grippe aviaire, c’est un réflexe dans le vent.

Partager sur les réseaux sociaux

Articles liés