211service.com
Dans le scandale des logiciels espions
John Guarino est le propriétaire de TecAngels, un cabinet de conseil en informatique composé de deux personnes à Manhattan. Donnez à Guarino votre PC Windows malade, et dans deux ou trois heures il vous le rendra en parfaite santé. Souvent, il peut résoudre les problèmes de ses clients par téléphone.
Mais l'été dernier, Guarino a rencontré un problème qu'il n'a pas pu résoudre. En train de débusquer les logiciels espions et les virus infectant les ordinateurs de ses clients, il a commencé à trouver les mêmes intrus mystérieux dans la machine après machine. Il s'agissait de fichiers étrangement nommés cachés au fond du registre où Windows stocke les paramètres et les instructions qui contrôlent tout le matériel et les logiciels d'un ordinateur.
Pour Guarino, les fichiers ressemblaient à un rootkit – un logiciel qui incite un système d'exploitation à ignorer les vers, les virus et tout autre fichier qu'un pirate pourrait vouloir dissimuler dans l'ordinateur d'un utilisateur. Les fichiers ne semblaient pas causer de dommages et le logiciel antivirus de Guarino ne les a pas identifiés comme des menaces. Mais ils étaient apparus sur les disques durs des gens sans y être invités – la définition conventionnelle des logiciels malveillants – alors Guarino les a supprimés.
Mais les fichiers ne sont pas allés tranquillement. Après que Guarino les ait supprimés, les lecteurs de CD sur les ordinateurs de ses clients cessaient de fonctionner. La solution habituelle - réinstaller le logiciel qui pilote les lecteurs de disques - n'a pas corrigé le problème. Guarino ne pouvait pas expliquer cet effet étrange, et ses clients ne le payaient pas pour passer des heures à le rechercher ; ils voulaient juste récupérer leurs ordinateurs. Il recourrait donc généralement à l'option nucléaire : réinstaller le système d'exploitation à partir de zéro.
Après six ou sept de ces rencontres, Guarino commençait à se lasser. Puis, le 30 septembre, il a découvert les mystérieux fichiers sur son propre PC. C'est ce qui m'a vraiment énervé, dit Guarino. J'étais comme, 'Je ne peux pas y croire. J'ai le dernier pare-feu, le dernier logiciel antivirus, trois ou quatre programmes anti-espion. Comment est-ce arrivé ici?'
Comme tout bon enquêteur, Guarino a fait marche arrière. Il savait que les fichiers n'étaient pas là la dernière fois qu'il avait scanné son ordinateur. Il a essayé de reconstituer tout ce qu'il avait fait avec sa machine au cours des jours précédents – quels programmes il avait installés, quels e-mails il avait reçus, quels sites Web il avait visités.
Puis il se souvint qu'il avait acheté un CD de musique la veille et l'avait joué sur l'ordinateur. C'était un album de Sony BMG Music Entertainment appelé Toucher , par la chanteuse de rhythm and blues Amerie. Contrairement à la plupart des CD, ce disque ne peut pas être lu à l'aide d'un logiciel de lecture multimédia courant tel qu'iTunes, RealPlayer ou Windows Media Player. Pour écouter le CD, les acheteurs devaient installer le lecteur Sony BMG personnalisé inclus sur le disque. Guarino avait fait cela.
Maintenant, il regarda de plus près la boîte à bijoux du CD. Une phrase lui est apparue : Contenu amélioré et protégé. De toute évidence, le disque contenait une forme de logiciel de gestion des droits numériques (DRM) – un programme conçu pour contrôler la copie et ainsi décourager le piratage.
Enfin, les morceaux se sont réunis. Les fichiers mystères ressemblaient à un rootkit ; le but habituel d'un rootkit est de cacher quelque chose ; un programme de protection contre la copie était le genre de chose que ses créateurs souhaitaient peut-être cacher aux utilisateurs ; et la suppression de ce rootkit particulier a désactivé le lecteur de CD. Guarino ne pouvait que conclure que la source du malware était Sony BMG lui-même.
C'est à ce moment-là que j'ai abandonné, dit Guarino. Il pouvait combattre les logiciels malveillants une machine à la fois. Mais si la deuxième maison de disques au monde voulait installer un logiciel secret sur les ordinateurs de ses clients, il ne gagnerait jamais.
Avant de mettre le problème de côté, Guarino a fait une chose très importante. Il a envoyé ses journaux par courrier électronique à F-Secure, une entreprise de sécurité informatique à Helsinki, en Finlande, dont il avait utilisé le logiciel pour détecter les fichiers. Bien que les observateurs de logiciels malveillants de F-Secure n'aient jamais rencontré le rootkit, ils ont rapidement pu confirmer les soupçons de Guarino. Au cours des deux semaines suivantes, ils sont arrivés à une autre prise de conscience beaucoup plus troublante : le rootkit pouvait cacher d'autres fichiers aussi facilement qu'il cachait le logiciel de protection contre la copie de Sony BMG. Chaque ordinateur qui avait déjà été utilisé pour lire un disque Sony BMG protégé contre la copie était désormais, en fait, un réceptacle ouvert pour les vers, virus et autres logiciels malveillants.
Le 17 octobre, F-Secure a contacté Sony. Deux semaines plus tard, l'expert en sécurité respecté Mark Russinovich a trouvé le rootkit sur son propre ordinateur et a rendu public ses découvertes sur son blog très lu. Il a également découvert que d'autres logiciels installés avec le programme de protection contre la copie contactaient secrètement Sony BMG via Internet chaque fois qu'un utilisateur de PC lisait un disque protégé contre la copie. Et au cours des mois suivants, ce qui avait commencé comme une curiosité dans la petite boutique de Guarino s'est transformé en un scandale à part entière, avec des négociations en coulisses, des révélations publiques, des démentis passionnés, des boycotts en colère, des poursuites vengeresses et des excuses lamentables.
Bien que son objectif initial était de cacher les logiciels qui empêchaient les auditeurs de faire plus de trois copies de leur musique, le rootkit de Sony BMG est devenu le symbole le plus public à ce jour des excès perçus de la technologie DRM - et de la méfiance croissante que les entreprises médiatiques semblent port envers leurs propres clients. Le scandale a toujours des répercussions. Cela a ravivé un différend dans la sphère publique sur la manière dont les consommateurs devraient être autorisés à utiliser les informations numériques protégées par le droit d'auteur et, à l'inverse, jusqu'où les titulaires de droits d'auteur peuvent aller pour protéger leur propriété intellectuelle contre le piratage. (Voir Who Will Own Ideas ?, un dossier spécial TR publié en juin 2005.)
Poussée à l'extrême, selon les experts, la gestion des droits numériques restreint non seulement le droit des personnes à faire un usage équitable du matériel protégé par le droit d'auteur, qui est garanti par la loi américaine sur le droit d'auteur, mais peut même créer de nouveaux risques technologiques. Lorsque vous construisez des systèmes informatiques où vous ne protégez pas l'utilisateur, mais quelque chose de l'utilisateur, vous avez une très mauvaise sécurité, explique Bruce Schneier, une sommité dans le domaine de la sécurité informatique et directeur technique de Counterpane Internet Security à Mountain View, CALIFORNIE. C'est ma plus grande peur - cette notion que l'utilisateur est l'ennemi.
L'histoire du fiasco du rootkit Sony BMG ne se limite pas à un mauvais jugement d'entreprise ou à la lutte continue pour les droits des consommateurs à faire ce qu'ils veulent avec les choses qu'ils possèdent. Il s'agit aussi de la peur et des dérives qu'elle peut susciter. Lorsque les entreprises médiatiques appliquent des outils aussi puissants et secrets à la protection du contenu, cela suggère que leur nervosité face au piratage s'est transformée en panique. Bien que Sony BMG insiste sur le fait que le rootkit a été déployé involontairement, l'épisode a persuadé de nombreux observateurs que l'industrie de la musique en était venue à considérer la tromperie comme un élément indispensable de la gestion des droits numériques. Il ne devrait pas être surprenant que des clients qui se sentent traités comme des voleurs cessent d'acheter des choses. S'il y a un message dans l'expérience de Sony BMG pour les autres entreprises entrant dans le monde numérique, c'est que la méfiance engendre la méfiance.
Piratage dans la cour d'école
La demande de contenu numérique (un mot de jargon faible mais pratique pour tout, de la poésie aux podcasts) est plus importante que jamais. Les ventes de musique téléchargeable dans le monde ont presque triplé entre 2004 et 2005, passant de 380 millions de dollars à 1,1 milliard de dollars, et représentent désormais environ 6 % de toutes les ventes de musique. En mars 2004, le magasin de musique iTunes d'Apple vendait des chansons à un rythme d'environ 2,5 millions par semaine. Selon la version britannique de Macmonde magazine, il vend désormais trois millions de chansons par jour.
On pourrait s'attendre à ce que les producteurs et distributeurs de contenu soient ravis du décollage du numérique. Mais en réalité, ils sont souvent préoccupés par la menace toujours présente de la copie endémique. Et pour cause : sur une période d'un mois en 2005, 3,8 millions de foyers américains ont téléchargé de la musique en utilisant les services gratuits de partage de fichiers peer-to-peer WinMX et Limewire, tandis que seulement 1,7 million de foyers ont acheté des fichiers sur iTunes, selon une étude de marché. société NPD Group. La Recording Industry Association of America évalue à 4,2 milliards de dollars par an les revenus de détail perdus du piratage de la musique numérique, et elle a combattu les téléchargements illégaux de manière agressive : en février, elle a annoncé qu'elle avait lancé 750 nouvelles poursuites contre les utilisateurs de fichiers peer-to-peer. -réseaux de partage, portant le total depuis 2003 à plus de 18 000.
Cependant, presque tous les téléchargements illégaux sont précédés d'un acte bien plus innocent : extraire des fichiers informatiques compressés, tels que des MP3, à partir d'un CD légitimement acheté. L'extraction et la gravure de CD pour un usage personnel sont parfaitement légales aux États-Unis. Mais Thomas Hesse, président des activités numériques mondiales de Sony BMG, affirme qu'il représente les deux tiers de tous les piratages. Le piratage occasionnel, le piratage dans la cour d'école, est un énorme problème pour nous, a-t-il déclaré l'année dernière au service de presse Reuters.
Ainsi, les maisons de disques comme Sony BMG sont naturellement attirées par les technologies qui promettent de contrecarrer les fans capricieux. Entrez dans la gestion des droits numériques, une industrie qui a émergé à la fin des années 90 pour aider les éditeurs et les studios à garder le contrôle sur le contenu des DVD, des logiciels, etc. Pour les entreprises DRM et leurs clients, le contrôle signifie interdire aux clients d'ouvrir des fichiers numériques à moins qu'ils n'aient payé pour le faire. Cela signifie empêcher la copie, l'impression, la sauvegarde ou la reproduction d'une œuvre, sauf autorisation expresse du contrat de licence de l'œuvre.
Pendant des années, l'industrie du disque n'a pas eu besoin de ce niveau de contrôle, car les lecteurs de CD grand public (introduits en 1982 par Philips et Sony) ont été conçus exclusivement pour lire de la musique, pas pour l'exporter sous forme numérique. Mais en 1996, lorsque les fabricants de PC ont commencé à inclure les lecteurs de CD-ROM en standard dans les ordinateurs personnels, la menace du piratage occasionnel était apparue ; et lors de ses débuts en 1999, Napster, le premier système populaire de partage de musique sur Internet, a mis fin à cette menace. Les sociétés d'enregistrement ont commencé à faire pression à Washington pour obtenir des sanctions juridiques plus sévères contre ceux qui partageaient des fichiers - et ont également commencé à chercher des moyens de rendre la copie et le partage plus intimidants pour l'utilisateur moyen.
Ce n'est pas une question simple. Les disques protégés doivent inclure un logiciel DRM pour limiter la copie ; mais en même temps, ils doivent être lisibles sur des lecteurs de CD ordinaires. Une façon de répondre à ces deux besoins est de rendre les CD plus semblables à des CD-ROM, qui contiennent souvent plusieurs sessions similaires aux coupures sur les anciens disques vinyles. La première session d'un CD multisession, en commençant au centre du disque, contient de la musique et les sessions externes contiennent des logiciels. Les lecteurs de CD normaux ne lisent que la première session et ignorent le reste, tandis qu'un PC Windows avec sa fonction d'exécution automatique activée recherche d'abord les programmes des sessions externes qu'il peut exécuter. (Heureusement pour les développeurs DRM, l'exécution automatique est activée par défaut dans Windows XP et la plupart des utilisateurs ne modifient jamais ce paramètre.)
Lorsque Sony BMG a entrepris le premier grand déploiement de CD protégés contre la copie en 2005, il a utilisé la méthode multisession. Sur 52 albums Sony BMG sortis entre janvier et novembre, les sessions externes comprenaient un programme de protection contre la copie Windows appelé XCP (eXtended Copy Protection), que Sony concédait sous licence à une société britannique appelée First 4 Internet, et un programme double Macintosh/Windows appelé MediaMax, de SunnComm, basé à Phoenix, AZ. Ce n'était pas la première fois qu'un label tentait de vendre des CD avec un logiciel anticopie ; Arista Records, une filiale de Sony BMG, a commercialisé un disque portant MediaMax à la fin de 2003, et le logiciel DRM de son rival Macrovision est apparu sur des milliers de CD d'autres labels à partir de 2002. a été Cependant, la technique que First 4 Internet avait choisie pour rendre XCP invisible était inhabituelle sur les nouveaux disques Sony BMG.
Dispositif de dissimulation
Lorsque Sony a initialement embauché First 4 Internet, ce n'était pas pour créer un système DRM pour les CD grand public. Selon des interviews de presse avec des dirigeants de First 4 Internet des mois avant l'éclatement du scandale des rootkits, il s'agissait de dissuader la copie de la musique de pré-sortie par les propres employés et sous-traitants du label, et d'autres destinataires. Le premier produit DRM de la société, XCP1, a rendu la session musicale sur des CD-R multisession, le type de CD enregistrable utilisé dans les studios de musique, illisible par les ordinateurs. Cette capacité était attrayante non seulement pour Sony BMG, mais aussi pour ses trois principaux rivaux, Universal, EMI et Warner Music Group, qui avaient tous une licence XCP1 en 2002.
Mais cette méthode ne fonctionnerait pas pour les CD grand public, qui devaient être lisibles sur tous les types d'appareils, y compris les ordinateurs, les lecteurs DVD, les lecteurs de CD vidéo et les lecteurs ordinaires. Ainsi, First 4 Internet a développé un nouveau programme, XCP2, qui utilise une approche plus intelligente et légèrement plus permissive appelée gravure stérile. Ce terme peu appétissant signifie simplement que les acheteurs d'un CD protégé peuvent l'extraire sur leurs ordinateurs, puis graver des copies sur des CD-R vierges, mais ces copies ne peuvent pas être utilisées pour faire plus de copies. (XCP2 est devenu connu simplement sous le nom de XCP.)
Selon les informaticiens de l'Université de Princeton, Ed Felten et J. Alex Halderman, qui ont procédé à l'ingénierie inverse du XCP dans le cadre d'une enquête universitaire, le logiciel a plusieurs fonctions distinctes qui sont invoquées séparément. La première fois qu'un disque protégé par XCP est chargé dans un ordinateur, il demande à l'utilisateur d'accepter le contrat de licence d'utilisateur final (CLUF) de Sony BMG. Il copie ensuite un certain nombre de programmes et de pilotes sur le disque dur et lance un programme propriétaire de lecteur multimédia. Une fois installés, selon un livre blanc -Halderman et Felten publié en février, les nouveaux pilotes écoutent les tentatives d'autres lecteurs multimédias tels qu'iTunes pour lire les pistes audio sur le CD ; s'ils en détectent un, ils remplacent les données renvoyées par le lecteur de CD par du bruit aléatoire. Pendant ce temps, une porte dérobée dans XCP permet au lecteur multimédia propriétaire de lire les données brutes du disque sans distorsion.
Une application de gravure intégrée au lecteur multimédia permet au propriétaire du CD d'en extraire jusqu'à trois copies et de les graver sur des CD-R. Ces copies contiendront tout sur le disque original, y compris les pistes audio, le lecteur multimédia et le logiciel de protection contre la copie. Mais ils seront stériles : l'application de gravure sera désactivée, ce qui signifie que les copies ne pourront être que lues, pas rippées et gravées à nouveau. Alternativement, les utilisateurs peuvent extraire des pistes individuelles ou des albums entiers sur leurs disques durs, puis graver jusqu'à trois copies sur des CD-R au format Windows Media Audio.
S'il était facile pour les utilisateurs de contourner ou de désactiver toutes ces fonctions complexes, le système de protection contre la copie serait inutile. Et voici le nœud de la controverse sur XCP et les disques Sony BMG : les développeurs de First 4 Internet ont décidé qu'un certain nombre de fichiers et d'opérations du programme devraient être cachés aux utilisateurs moyens. Les pilotes qui interfèrent avec les tentatives d'autres lecteurs multimédias pour lire un CD protégé, par exemple, devaient être stockés dans un endroit secret où les utilisateurs ne pouvaient pas les trouver et les supprimer. Ensuite, il y avait le fichier utilisé par XCP pour compter le nombre de copies du CD que l'utilisateur est encore autorisé à faire. L'application de gravure est désactivée uniquement lorsque le compteur atteint zéro. Si les utilisateurs avancés pouvaient trouver ce fichier, ils pourraient potentiellement modifier la valeur du compteur à trois après chaque copie qu'ils ont gravée.
Le secret lui-même est une routine dans l'industrie du logiciel, mais c'était différent. Les 4 premiers Internet ont atteint le secret utiliser un rootkit , alors Sony BMG a négligé d'informer ses clients de la présence du programme ou de fournir un moyen simple de le désinstaller. Le terme rootkit dérive des réseaux informatiques utilisant des systèmes d'exploitation de style Unix, où l'administrateur système - la personne ayant tous les droits et privilèges pour changer le système - aurait un accès root. Les premiers root kits, écrits au milieu des années 1990, étaient des collections d'outils logiciels utilisés par les pirates Unix pour acquérir un accès root et déposer du code malveillant sans laisser de trace. Les rootkits Windows sont apparus en 1999 et sont devenus si courants qu'ils pouvaient être téléchargés gratuitement à partir de collectifs de hackers tels que celui qui produit le magazine en ligne. Rootkit ( www.rootkit.com ). Des versions plus sophistiquées pourraient être achetées sur Internet pour quelques centaines de dollars.
Les 4 premiers dirigeants d'Internet, citant une action en justice en cours, ne répondraient pas Examen de la technologie Par conséquent, nous ne savons pas si les développeurs de l'entreprise savaient ou non qu'ils créaient un rootkit, ou s'ils ont modelé XCP sur l'un des rootkits open source ou commerciaux. Cependant, des personnes extérieures qui ont examiné le code de XCP ont découvert qu'il contenait des composants open source, notamment le code d'un programme qui encode la musique au format MP3 et un autre qui crypte et décrypte la musique téléchargée à partir d'iTunes d'Apple. (Ce dernier faisait apparemment partie d'un plan jamais mis en œuvre pour rendre XCP compatible avec iTunes, selon Halderman.)
Une autre inconnue est de savoir si les développeurs de XCP savaient qu'un rootkit, une fois installé sur l'ordinateur d'un client, pouvait ouvrir un passage pour d'autres virus et chevaux de Troie. Mais Halderman de Princeton dit que les programmeurs de First 4 Internet devaient être conscients que la méthode de dissimulation qu'ils employaient était bien connue des auteurs de logiciels malveillants. Ils ont dû se renseigner sur cette technique auprès d'autres sources, dit Halderman. Et au cours de leurs recherches sur l'utilisation de cette technique, il est presque inconcevable qu'ils n'aient pas découvert que [masquer d'autres logiciels malveillants] est quelque chose que font les rootkits.
Dans tous les cas, la technique de dissimulation de l'entreprise était très efficace, à tel point qu'aucun expert en sécurité n'a remarqué le rootkit pendant au moins six mois après la sortie des premiers disques protégés contre la copie. Mais peu de temps après que Russinovich a publié son rapport, les auteurs de logiciels malveillants ont découvert qu'ils pouvaient utiliser le rootkit pour garder tout, des virus aux logiciels espions, hors de la vue du système d'exploitation. En effet, moins de deux semaines après la découverte du rootkit Sony BMG, le premier programme malveillant conçu pour l'exploiter avait fait surface. Il s'agissait d'un cheval de Troie de porte dérobée appelé Troj/Stinx-E conçu pour se cacher dans le rootkit et permettre à d'autres programmes de prendre le contrôle des ordinateurs des utilisateurs via des connexions à un système de messagerie instantanée appelé Internet Relay Chat.
La connexion finlandaise
F-Secure a son siège social dans un bâtiment carré en verre et aluminium à la périphérie d'Helsinki, à seulement un pâté de maisons de l'usine où Nokia – bien avant de devenir une entreprise de téléphonie mobile – fabriquait des milliers de kilomètres de câbles en acier dans le cadre de la guerre massive de la Finlande. réparations à l'Union soviétique.
Le centre de commandement du deuxième étage de F-Secure est dominé par trois grands écrans vidéo. L'une dépeint l'architecture d'un virus informatique bien connu comme s'il s'agissait d'une station spatiale géante en rotation. Un autre montre une carte en temps réel de l'activité des logiciels malveillants dans le monde. Mika Stahlberg, responsable de la recherche chez F-Secure, utilise le troisième écran pour illustrer les fonctionnalités furtives de XCP.
Je peux démontrer en utilisant l'album de Van Zant, dit Stahlberg. il insère Soyez juste avec l'homme , un album country des rockeurs vétérans Johnny et Donnie Van Zant, dans un ordinateur sous la table de conférence triangulaire du centre de commande. Nous l'avons commandé sur Amazon en octobre dernier. D'accord, je l'ai mis et il démarre par défaut. Voici le CLUF. Bien sûr, je veux écouter la musique, alors je clique sur « D'accord ».
Le lecteur s'installe et se lance automatiquement. Stahlberg choisit maintenant un cobaye pour la démonstration de camouflage : l'accessoire calculatrice Windows. Il démarre la calculatrice, puis ouvre le Gestionnaire des tâches de Windows et sélectionne l'onglet Processus, où un utilisateur peut voir une liste de tous les programmes en cours d'exécution sur la machine. D'accord, nous pouvons voir qu'il est là dans la liste des processus - il s'appelle 'calc.exe'. Renommez-le maintenant.
Stahlberg ferme la calculatrice, trouve le fichier programme réel sur le disque dur et lui donne un nom très précis : $sys$calc.exe. Il redémarre la calculatrice. Maintenant, regardez à nouveau la liste des processus. La calculatrice a disparu.
Stahlberg vient de mettre à nu la fonction principale du rootkit Sony BMG : rendre indétectable tout fichier commençant par le préfixe $sys$. Parmi les fichiers que XCP garde ainsi cachés : aries, le programme leader qui transmet les messages entre les applications et le système d'exploitation ; crater, le pilote de filtre qui empêche les autres programmes de lire le CD-ROM ; et $sys$parking, qui compte combien de fois l'application de gravure a été utilisée.
Ce que font presque tous les rootkits… c'est filtrer la sortie que les applications obtiennent de certaines fonctions du système d'exploitation, explique Stahlberg. XCP filtre toute sortie marquée du préfixe $sys$. Ainsi, dans la démonstration de Stahlberg, lorsque le gestionnaire de tâches a demandé à Windows une liste des programmes en cours d'exécution, il a tout récupéré sauf la calculatrice. Un programme avec le préfixe $sys$ dans son nom peut être en cours d'exécution - en effet, il peut occuper une grande partie de la mémoire et du temps CPU du système - mais pour la liste des processus et d'autres applications telles que l'explorateur Windows, il n'existe pas. .
Bien sûr, Stahlberg et ses collègues de F-Secure n'ont rien compris à tout cela la première fois qu'ils ont examiné un disque Sony BMG protégé contre la copie, le Switchfoot's Rien n'est sain . Immédiatement après avoir reçu le fichier journal de John Guarino, ils ont commandé le CD et l'ont installé sur un PC en quarantaine, puis ont utilisé le propre programme de détection de rootkit de F-Secure, appelé Blacklight, pour voir comment le logiciel du disque avait modifié le système d'exploitation de la machine. Blacklight a découvert qu'il y avait plus de fichiers dans le système que l'explorateur Windows ne l'indiquait - un signe indubitable d'un rootkit.
Au début, les chercheurs de F-Secure étaient réticents à qualifier le rootkit Sony BMG de menace pour la sécurité, car il était manifestement utilisé pour la protection contre la copie, et non pour propager des virus ou générer des publicités contextuelles. Le DRM en tant que tel n'est pas mauvais, déclare -Santeri Kangas, directeur de la recherche chez F-Secure. Mais lorsque nous avons analysé ce que cela pourrait faire en tant que véhicule pour les logiciels malveillants, nous avons pris position et avons dit : « Eh bien, c'est dangereux. »
F-Secure a contacté Sony au sujet de la vulnérabilité du rootkit le 17 octobre. Mais la relation a mal commencé, selon Kangas. Ne sachant à qui s'adresser, F-Secure a d'abord adressé le problème à Sony DACD, une filiale autrichienne qui fabrique des CD. Ils ont dit : « Merci, mais cela vient de Sony BMG », raconte Kangas. Lorsque lui et ses collègues ont finalement atteint le siège social de Sony BMG à Los Angeles, la première réaction que nous avons eue a été de savoir pourquoi parlions-nous de leur logiciel de protection contre la copie avec une unité concurrente de Sony ? Ils étaient plutôt en colère.
Une fois les récriminations passées, les responsables de Sony BMG DRM ont demandé à Kangas et à son équipe de travailler avec First 4 Internet sur un moyen de protéger les propriétaires des CD protégés. De notre point de vue, la seule solution avec cette première version de XCP était d'arrêter de le déployer, explique Kangas. Mais c'était quelque chose qu'ils ne voulaient clairement pas faire. Selon Kangas, le plan de First 4 Internet était simplement de sortir une nouvelle version de XCP en 2006 sans le rootkit - pour ne pas remplacer les millions de disques qui avaient déjà été achetés - et d'offrir un outil de désinstallation aux clients qui le demandaient.
Kangas et son équipe ont préparé un rapport public sur le rootkit, mais attendaient le programme de désinstallation de First 4 Internet avant de le publier, comme l'exigent les entreprises de sécurité Internet. C'est alors qu'ils ont été battus au poing par un Texan du nom de Mark Russinovich.
Russinovich et son collègue Bryce Cogswell sont les auteurs de Sysinternals.com, l'un des principaux blogs américains sur la sécurité informatique. Russinovich est également l'architecte logiciel en chef de Winternals Software, basé à Austin, et, par hasard, l'inventeur de certaines des techniques de dissimulation utilisées par XCP. Lui et Cogswell avaient passé une partie de l'année 2005 à travailler sur Rootkit Revealer, un programme de détection similaire à Blacklight de F-Secure. Un jour, fin octobre, Russinovich exécutait Rootkit Revealer sur son propre PC dans le cadre d'un test pour s'assurer que le programme ne générait pas de faux positifs. Russinovich dit qu'il évite délibérément les zones les plus sordides d'Internet afin de garder sa machine à l'abri des logiciels malveillants - il a donc été étonné lorsque Rootkit Revealer a trouvé de vrais fichiers de rootkit.
Tout comme Guarino l'avait fait, Russinovich a découvert que la suppression des fichiers désactivait son lecteur de CD-ROM. Même un utilisateur à domicile sophistiqué, s'il tentait de désinstaller le rootkit en supprimant les fichiers, finirait par paralyser sa machine, explique Russinovich. Mais comme il avait lui-même mis au point la plupart des astuces utilisées par les rootkits Windows pour tromper le système d'exploitation et d'autres applications, il n'a pas été bloqué. Russinovich a pu contourner la fonction de dissimulation du rootkit et - après s'être souvenu qu'il avait récemment lu le disque Sony BMG protégé contre la copie Soyez juste avec l'homme sur son ordinateur - retracez les fichiers qu'il cachait jusqu'à First 4 Internet et Sony BMG.
C'était dérangeant pour moi, le fait que cette chose ait installé un logiciel rootkit sur mon PC, dit Russinovich. Il s'était installé sans me le dire. Il ne semble pas y avoir de programme de désinstallation. Mais ce qui était le plus surprenant, c'était de tomber sur un rootkit qui faisait partie du DRM d'une entreprise bien connue.
Russinovich n'a pas contacté Sony BMG au sujet de sa découverte ; au lieu de cela, il a versé ses découvertes dans une entrée de blog en colère publiée le jour d'Halloween. En quelques heures, le message de Russinovich a été repris par Slashdot, la célèbre maison de News for Nerds. Et à partir de là, l'histoire du rootkit a fait rage à travers la blogosphère et même dans les journaux grand public. F-Secure – bien qu'il ait été récupéré par Russinovich – est rapidement revenu dans le jeu, publiant sa propre analyse du rootkit le 1er novembre.
Parmi les fans de musique et les observateurs de technologie, la réaction aux nouvelles du rootkit a été explosive. En quelques jours, des militants anti-DRM ont lancé plusieurs boycotts contre Sony BMG. Sony vise les pirates – et frappe les utilisateurs, a titré un titre du 9 novembre dans le Moniteur de la Science Chrétienne . Les sociétés d'antivirus et de sécurité ont émis des avertissements conseillant aux consommateurs d'éviter ou de retourner les disques Sony BMG. Les blogueurs ont attisé les flammes ; le mot rootkit est apparu dans les blogs 150 à 750 fois par jour en novembre, selon le moteur de recherche de blogs Technorati.
Les esprits ont encore augmenté après le 4 novembre, lorsque Russinovich a annoncé dans son blog qu'un autre logiciel accompagnant XCP sur les disques Sony BMG téléphonait à la maison, contactant Sony BMG sur Internet chaque fois qu'un utilisateur jouait un CD protégé. Sur la base d'un conseil d'un hacker finlandais et étudiant en informatique nommé Matti Nikki, Russinovich a utilisé un programme de traçage de réseau pour analyser le trafic entrant et sortant de son ordinateur. Il a découvert que lors du démarrage, les CD protégés vérifiaient auprès d'un serveur de Sony BMG s'il y avait du nouveau matériel pour une bannière publicitaire rotative affichée avec le lecteur. Cet échange était assez anodin ; mais pour Russinovich et les lecteurs de son blog, l'affront était que Sony BMG n'avait pas divulgué dans les CLUF des CD que le logiciel enverrait des données à l'entreprise ou expliqué comment ces données seraient utilisées. Je doute que Sony fasse quoi que ce soit avec les données, a écrit Russinovich, mais avec ce type de connexion, leurs serveurs pourraient enregistrer chaque fois qu'un CD protégé contre la copie est lu et l'adresse IP [l'emplacement sur Internet] de l'ordinateur qui le lit.
Les professionnels de la sécurité, les blogueurs et les fans de musique n'étaient pas les seuls à être consternés. Le département américain de la Sécurité intérieure a critiqué Sony BMG pour avoir publié des produits qui compromettaient les logiciels antivirus et exposaient à la fois les ordinateurs publics et privés aux pirates. Lors d'une conférence commerciale du 10 novembre sur le piratage, Stewart Baker, secrétaire adjoint du département chargé de la politique, a réprimandé les grands médias pour leur obsession pour les DRM. Il est très important de se rappeler que c'est votre propriété intellectuelle, [mais] ce n'est pas votre ordinateur, a déclaré Baker.
À maintes reprises, les personnes qui ont rencontré le rootkit ont exprimé un sentiment de violation. John Guarino, le consultant en informatique, propose cette analogie : disons que vous voulez installer la télévision par câble dans votre appartement. Vous appelez le câblodistributeur. Ils disent que quelqu'un va venir l'installer. Le gars du câble vous fait signer quelque chose avant qu'il n'entre dans l'appartement. Ensuite, vous découvrez qu'il n'a pas réellement quitté l'appartement quand il a terminé. Il se cache toujours. Et vous appelez la société et dites : « Ce type est toujours là », et ils disent : « Mais vous avez signé le document. » Et vous dites : « Oui, mais il ne devrait toujours pas être ici. Où est-il ?’ et ils disent : ‘Nous n’allons pas vous le dire.’
Et non seulement ce type se cache à l'intérieur de votre appartement - il mange en fait dans votre réfrigérateur, boit votre eau, utilise la salle de bain, et vous ne pouvez pas l'arrêter. Il pourrait inviter d'autres amis et les laisser entrer. Et si vous essayez de le trouver et de le sortir vous-même, il va lancer des bombes, et vous devrez appeler les gars de la construction pour reconstruire tout votre appartement.
C'est ce que fait Sony. Le rootkit utilise votre processeur, il utilise votre mémoire, votre disque dur. Vous ne pouvez pas le retirer facilement, car ils ne vous diront pas comment. Si vous essayez de le retirer, cela endommage réellement votre ordinateur. La seule solution est de réinstaller tout le système d'exploitation. C'est de l'anarchie totale, et c'est inacceptable.
Face à la musique
Malgré les avertissements de F-Secure fin octobre, Sony BMG a été surpris par la polémique. En effet, pendant des jours après que l'analyse de Russinovich ait fait la une des journaux, les dirigeants de l'entreprise ont montré peu de compréhension de la fureur qu'elle suscitait dans le cœur de nombre de ses clients. La plupart des gens, je pense, ne savent même pas ce qu'est un rootkit, alors pourquoi devraient-ils s'en soucier ? Hesse de Sony BMG a déclaré dans une interview à la National Public Radio le 4 novembre.
Mais pour les propriétaires des plus de deux millions de disques protégés par XCP vendus par Sony BMG entre janvier et novembre, les rapports ont été un choc. Les failles de sécurité dans les logiciels commerciaux sont courantes ; Les produits de Microsoft, par exemple, sont si largement utilisés que même le plus petit bogue sera finalement découvert et exploité par un auteur de malware, de sorte que le géant du logiciel publie des mises à jour et des correctifs sur une base mensuelle. Mais aucune société de logiciels ou de médias de la stature de Sony BMG n'avait jamais distribué un programme qui, de l'avis des experts en sécurité, a été délibérément conçu pour imiter les logiciels malveillants.
Sony BMG ne s'est pas immédiatement excusé mais a essayé de résoudre le problème. Sa première étape, début novembre, consistait à publier un programme Web que les clients pouvaient utiliser pour supprimer XCP de leurs systèmes. Le mouvement n'a pas arrangé les choses. Matti Nikki en Finlande a découvert qu'un fichier que le programme de désinstallation a placé sur l'ordinateur d'un utilisateur pour faciliter la communication avec les serveurs de Sony BMG pourrait plus tard être exploité par tout site Web souhaitant envoyer et exécuter un code malveillant. Le programme de désinstallation posait un risque de sécurité bien plus grand que même le rootkit Sony d'origine, selon Felten et Halderman, qui ont vérifié la découverte de Nikki le 15 novembre dans leur blog très suivi, Freedom to Tinker.
Quelques jours plus tard, Sony BMG a remplacé le programme de désinstallation Web par un programme plus sûr et téléchargeable. Et peu à peu, l'entreprise a semblé prendre conscience de l'ampleur du désastre de relations publiques auquel elle était confrontée. Le 11 novembre, Sony BMG a annoncé qu'il cesserait de fabriquer des CD de musique avec XCP. Le 14 novembre, la société a déclaré qu'elle regrettait les inconvénients qu'elle avait causés à ses clients et a annoncé un programme d'échange pour remplacer les disques protégés par XCP par de nouveaux sans rootkit.
Selon les médias, les consommateurs ont acheté 2,1 millions de CD protégés contre la copie. Combien de ces clients ont réellement joué les CD sur leurs ordinateurs, installant ainsi le rootkit sans le vouloir, n'est pas clair. Mais Dan Kaminsky, un chercheur indépendant en sécurité à Seattle, a découvert des preuves liant le rootkit de Sony à des centaines de milliers, voire des millions, de systèmes dans 131 pays. Il qualifie ce chiffre d'énorme, surtout par rapport aux chiffres de la propagation des vers et des virus Internet. Kaminsky a publié les statistiques sur son site Web, -doxpara.com, ainsi que des cartes du monde indiquant l'emplacement des réseaux concernés.
Sony BMG, quant à lui, a tenté de répondre aux inquiétudes spécifiques soulevées par Russinovich, Kaminsky et d'autres. Dans une lettre du 18 novembre à l'Electronic Frontier Foundation, qui avait précédemment publié sa propre lettre ouverte critiquant la gestion par Sony BMG de l'épisode XCP, l'avocat de Sony Jeffrey Cunard a déclaré que la société ne divulguerait jamais les adresses Internet collectées lorsque XCP a téléphoné à la maison et que, dans tous les cas, ces adresses n'ont jamais été associées à des informations personnellement identifiables. Il a également déclaré que Sony BMG serait plus prudent à l'avenir quant à l'évaluation des logiciels de protection contre la copie et des CLUF qui les accompagnent. Toute technologie actuelle et future de protection contre la copie utilisée par Sony BMG sera testée, vérifiée et divulguée aux consommateurs, a écrit Cunard.
Les représentants de Sony BMG contactés par Examen de la technologie en mars et avril n'ont pas nommé les dirigeants responsables de la licence XCP de First 4 Internet ou de la sortie des disques protégés contre la copie, et ils ont refusé de rendre les dirigeants disponibles pour des entretiens. Cependant, Cory Shields, directeur du bureau des communications de la société, a déclaré que Sony BMG n'avait jamais eu l'intention d'inclure des logiciels causant des problèmes de sécurité sur ses disques compacts. L'intention de l'entreprise était de fournir une technologie conviviale pour les consommateurs, qui permettrait aux utilisateurs de rechercher les fonctionnalités qu'ils souhaitaient, a déclaré Shields. Ce n'était certainement pas l'intention de l'entreprise de créer un problème.
Zone de liberté
Les rappels, échanges et excuses de novembre 2005 n'ont pas clos l'affaire. Le procureur général de New York, Eliot Spitzer, a critiqué Sony fin novembre, après que les enquêteurs ont découvert que les disques contenant XCP n'avaient pas encore été retirés des magasins. La Federal Trade Commission a ouvert une enquête et le procureur général du Texas, Greg Abbott, a poursuivi Sony BMG pour violation des lois antispyware de l'État. Les plaignants dans au moins cinq États ont déposé une plainte, réclamant des dommages-intérêts contre Sony BMG pour avoir altéré leurs ordinateurs.
Sony a traité ces poursuites rapidement. Avant la sortie de décembre, la société avait conclu un accord provisoire avec des avocats, qui avaient regroupé les poursuites en une seule plainte auprès du tribunal de district américain du sud de New York. Le règlement offre à quiconque possède un disque avec XCP un disque de remplacement, un paiement en espèces de 7,50 $ et (ironiquement) des téléchargements numériques gratuits de la musique sur le CD et jusqu'à trois autres. Au moment de mettre sous presse, le tribunal n'avait pas encore approuvé le règlement complet, mais le programme de remplacement avait commencé.
Mais la colère contre le rootkit dans les médias et la blogosphère a persisté même après l'annonce du règlement proposé. Ce qui dérangeait vraiment les consommateurs, semblait-il, n'étaient pas les dommages causés à leurs ordinateurs : le cheval de Troie Troj/Stinx-E ne s'était pas propagé bien loin, et il n'y avait pas eu le temps pour une épidémie sérieuse d'autres logiciels malveillants exploitant le rootkit XCP d'émerger. Au contraire, les acheteurs de CD étaient mécontents que le logiciel ait délibérément caché sa présence et contacté Sony BMG sans leur permission. Ils ont estimé que XCP avait violé les protections fondamentales - les droits à la vie privée et à la propriété privée et les libertés d'expression et d'accès à l'information.
Je suis un fan de musique, et j'ai regardé avec consternation toute la marche des DRM, au point que vous devez pratiquement signer un contrat pour ouvrir une boîte de CD, déclare Tim Jarrett, Framingham, MA, développeur Web et blogueur technologique. Donc, quand j'ai vu que Sony n'incluait pas seulement ce DRM, mais le faisait de telle manière qu'il ouvrait les ordinateurs des gens à l'exploitation, je pense que quelque chose à l'intérieur de moi s'est en quelque sorte cassé. Jarrett a décidé de lancer le Sony Boycott Blog, qui a fonctionné pendant trois mois comme l'un des principaux centres d'échange d'informations sur la saga des rootkits. À en juger par les commentaires qu'ils ont laissés, les lecteurs de Jarrett - qui étaient au nombre de 5 000 par jour - étaient tout aussi contrariés. Vous disposez d'une zone de liberté personnelle - un espace personnel dans lequel vous pouvez décider, par exemple, de lire un livre à l'envers, ou de le lire 20 fois, ou de prendre des notes en marge, ou de le lire dans la baignoire, ou de faire un sketch jouer le livre à un ami, explique le professeur de droit Julie Cohen, qui étudie le droit de la propriété intellectuelle et de la confidentialité des données au Georgetown University Law Center. Et avoir un policier automatique ou même simplement une interdiction architecturale catégorique qui s'approprie cet espace personnel est quelque chose que les gens ressentent comme très intrusif.
Je pense que nous sommes dans cette période où les fournisseurs de contenu essaient de repousser les limites, explique Mark Russinovich. Ils veulent voir jusqu'où ils peuvent aller pour protéger leur contenu, et où se situe cette fine ligne entre protéger leur contenu contre le piratage occasionnel et ennuyer le consommateur.
Bon DRM
Les questions soulevées par la saga des rootkits Sony BMG sont de savoir si protéger le contenu signifie nécessairement violer le droit des consommateurs à contrôler leur propriété privée, compromettre le rôle de l'ordinateur en tant qu'instrument de culture et de créativité et sacrifier le principe d'utilisation équitable (une disposition du droit d'auteur américain loi qui autorise la reproduction d'œuvres protégées par le droit d'auteur à des fins de critique, de rapport, de recherche et d'archivage).
Les premiers signes ne sont pas bons. La bévue de Sony BMG - aussi involontaire qu'elle ait pu être - était une indication pour de nombreux observateurs que les détenteurs de droits d'auteur intensifient en fait la guerre technologique, choisissant de se mêler de plus en plus du fonctionnement des ordinateurs des clients dans un effort hâtif et négligent pour limiter freeloading.
Si Sony ne s'est pas arrêté et n'a pas pris le temps de demander à First 4 Internet ce que XCP a réellement fait, c'est de leur faute, déclare Schneier de Counterpane Internet Security. Je trouve First 4 Internet moins coupable, parce que Sony voulait acheter une sorte de solution miracle, et ils ont juste dit : « Tiens, utilise le nôtre. »
Sony BMG n'a jamais entièrement accepté le blâme ; même dans l'accord de règlement de décembre, la société a nié qu'elle portait une quelconque responsabilité légale ou que quelqu'un avait été lésé par une conduite répréhensible. Pourtant, selon la plupart des mesures de responsabilité d'entreprise, Sony BMG a fait des efforts remarquables pour compenser le fiasco des rootkits. L'entreprise semble désormais se méfier de franchir la fine ligne de Russinovich. Il doit y avoir un équilibre entre la protection du contenu et le développement et la protection de la technologie, reconnaît le porte-parole de Sony BMG, Cory Shields.
En effet, les erreurs de Sony BMG dans l'affaire du rootkit donnent un aperçu de ce à quoi ressemblerait, en revanche, une bonne gestion des droits numériques.
Tout d'abord, disent les professionnels de la sécurité informatique, un bon DRM devrait être transparent . Pour ces professionnels, l'épisode du rootkit a poussé le secret trop loin. Si un rootkit fournit une cachette pour les virus, les vers et les chevaux de Troie, cela rend le travail des logiciels antivirus des ordinateurs beaucoup plus difficile. Et si des entreprises plus légitimes commencent à concevoir leurs logiciels pour imiter les logiciels malveillants, ce travail devient presque impossible. Désormais, tous vos logiciels de sécurité doivent faire la distinction entre le « bon » code malveillant et le « mauvais » code malveillant, explique Schneier.
Pour être convivial, le logiciel DRM doit donc être convivial pour l'ordinateur. Il ne doit pas se cacher du système d'exploitation de l'ordinateur, ni occuper plus que sa part de traitement ou de mémoire. Et les conditions d'utilisation et les fonctions du logiciel doivent être énoncées de manière claire pour l'utilisateur, et non enfouies dans un CLUF de 20 pages. Les gens doivent comprendre le marché qu'ils concluent et les restrictions auxquelles ils peuvent être soumis, déclare David Sohn, conseiller juridique spécialisé en droit de la propriété intellectuelle au Center for Democracy and Technology à Washington, DC.
Deuxièmement, la technologie DRM devrait respecter la vie privée et la sécurité des utilisateurs . Il ne doit collecter que les informations personnelles nécessaires à l'authentification, et uniquement après avoir obtenu le consentement des utilisateurs. Et les mesures de protection du contenu ne peuvent pas être mises en œuvre au détriment de la sécurité d'un système informatique contre les vrais logiciels malveillants.
Troisièmement, un bon DRM doit être réparable par l'utilisateur . Si un système DRM tombe en panne, les consommateurs devraient toujours pouvoir accéder au contenu qu'ils ont acheté, et s'il devient une menace pour la sécurité, ils devraient pouvoir le désactiver. Pourtant, en vertu du Digital Millennium Copyright Act (DMCA) de 1998, il est illégal de contourner la technologie protégeant le contenu numérique. Il n'y a pas d'exception pour des cas tels que celui du rootkit Sony BMG, où la technologie DRM elle-même peut causer des dommages. Cette situation bizarre pourrait être corrigée si les efforts de certains législateurs pour modifier le DMCA réussissent. Le 14 décembre, pour la troisième session consécutive du Congrès, la représentante Zoe Lofgren, une démocrate de la Silicon Valley, a présenté un projet de loi qui rendrait légal le contournement de la technologie DRM si le contenu non protégé est ensuite utilisé à des fins non contrefaisantes, telles que l'archivage. . Le projet de loi de Lofgren a été renvoyé au Comité de la Chambre sur le pouvoir judiciaire, où il attend son examen.
Quatrièmement, et peut-être le plus important, une bonne technologie DRM devrait être souple . La proposition que Sony BMG a faite aux clients avec XCP était plutôt maigre : achetez ce CD pour 13,98 $ et vous pouvez en faire trois copies, au format Windows Media Audio uniquement. Les copies ne peuvent pas être copiées - et elles ne seront pas lues sur les ordinateurs d'autres personnes. Un DRM raisonnable, en revanche, donnerait aux consommateurs la liberté d'utiliser le contenu qu'ils ont acheté de manière non contrefaisante, comme l'extraire sur leurs ordinateurs et le télécharger sur leurs lecteurs mobiles, ou peut-être les laisser choisir exactement comment ils aimeraient l'utiliser le contenu et facturer en conséquence. Le décalage temporel (enregistrement de flux audio en direct pour une consommation ultérieure), le décalage de lieu (diffusion de musique sur Internet depuis un ordinateur personnel vers un emplacement distant), ou même l'échantillonnage et le remixage peuvent tous avoir des prix différents. Le marché devrait récompenser ou punir les produits selon qu'ils offrent ou non la flexibilité que les gens souhaitent, dit Sohn.
Certaines technologies DRM offrent une flexibilité croissante. Sohn cite FairPlay, le système DRM derrière iTunes d'Apple, comme un exemple que d'autres distributeurs de contenu feraient bien d'imiter : les clients peuvent écouter des chansons protégées par FairPlay sur un ordinateur, créer des listes de lecture, graver ces listes de lecture sur CD et déplacer les chansons vers des appareils portables. (Sohn n'est cependant pas fan de l'incapacité de FairPlay à fonctionner avec des produits non Apple.) Le succès du magasin de musique iTunes, dit Sohn, suggère que cette combinaison de fonctionnalités répond à la demande des consommateurs. TiVo to Go est un autre exemple : les propriétaires d'enregistreurs vidéo numériques TiVo peuvent transférer des émissions enregistrées sur des DVD, des ordinateurs de bureau, des ordinateurs portables et des appareils mobiles tels que l'iPod vidéo et la PlayStation Portable de Sony.
Mais pour chaque iTunes et TiVo, il existe encore de nombreux exemples de systèmes DRM restrictifs qui traitent les clients comme des criminels. Jusqu'à ce qu'il y ait un consensus sur les droits que méritent les consommateurs et les restrictions nécessaires pour protéger les revenus des artistes et de leurs studios, l'achat de contenu numérique continuera probablement d'être une affaire épineuse.
Les détenteurs de propriété intellectuelle ont absolument le droit de protéger cette propriété, déclare Stephen -Toulouse, responsable du programme de sécurité au Microsoft Security Response Center, où les chercheurs ont passé des semaines l'automne dernier à aider les utilisateurs de Windows à lutter contre l'épidémie de rootkits. Mais en tant que consommateur moi-même, j'aimerais voir les éditeurs de logiciels et les studios obtenir les commentaires des consommateurs et créer des technologies qui les reflètent.
En fin de compte, la meilleure réponse des maisons de disques à la baisse des revenus de la musique pourrait être d'exercer plus d'imagination, pas plus de contrôle.
Wade Roush est rédacteur en chef de Technology Review.