Une présentation de l'affaire des CD audio de Sony
Beaucoup de choses ont été dites sur le Web à propos de ce qui est appelé le Rootkit de Sony-BMG (il était dans mes notes pour un article depuis son apparition fin octobre). Pour ma part, l'excellent article de Tristan Nitot sur Standblog est celui à signaler : il présente parfaitement les choses, sans crier à l'unique fauteur Sony, malgré son titre DRM Sony-BMG : chronique d'un massacre. Voici simplement ici une présentation sous l'angle des formats, car c'est un parfait exemple des dangers des formats fermés, dont les DRM.
La partie visible de vos actions...
Vous achetez un CD audio d'un artiste de chez Sony-BMG. Vous l'insérez dans le lecteur de votre ordinateur qui utilise Windows. Un texte apparait à l'écran, la licence d'utilisation du CD qui vous indique des clauses, en termes peut-être assez peu clairs. Vous acceptez cette licence. Vous êtes aussi connecté à Internet avec cet ordinateur, même si ce n'est pas en permanence. Et vous écoutez la musique que vous avez achetée.
La partie immergée dans votre ordinateur...
La liste est assez impressionnante :
- le CD a installé un logiciel particulier, appelé rootkit, que l'on pourrait-on traduire par « la trousse du grand chef » (de l'ordinateur) : il s'installe sans que vous (chef de la machine) ne vous en rendiez compte, vous croyez votre machine saine ;
- ce logiciel donne la possibilité à Sony de savoir quel CD est écouté et quand, car des informations peuvent être transmises lors de la connexion Internet ;
- le rootkit est utilisé par des pirates pour prendre le contrôle de l'ordinateur sans que son chef (vous en théorie) ne s'en rende compte ;
- vous avez accepté que si des problèmes de sécurité surviennent, Sony ne sera pas tenu pour responsable : c'était dans la licence ;
- vous n'avez pas le droit d'écouter le CD sur la machine d'un ami ou d'un parent : elle doit vous appartenir... c'était dans la licence que vous avez acceptée ;
- vous avez accepté aussi d'autres clauses ahurissantes qui étaient écrites dans la licence (en cas de vol, en cas de déménagement à l'étranger, en cas de faillite,...).
Des explications
Pour verrouiller sa musique, Sony, comme d'autres éditeurs (et les exemples sont nombreux, en musique et ailleurs), placent des DRM sur ses fichiers audio. L'interopérabilité n'est plus de mise. En plus du format fermé de ces DRM, le CD audio installe sous Windows ce rootkit de façon fermée : impossible de savoir ce que le logiciel fait a priori. Enfin, la licence peut sembler à un format assez fermé avec son vocabulaire peu clair, mais qui est acceptée. Les formats fermés en action, pourrait-on dire, le contraire des formats ouverts.
Deux derniers points
Si cela se trouve, outre le tollé provoqué actuellement, ce sont peut-être d'autres industriels qui ne félicitent pas Sony pour avoir été aussi maladroit et s'être fait prendre. Et pour avoir ainsi attiré l'attention sur une telle technique, qui en soit n'est pas nouvelle. Ici, elle a été décelée puis divulguée, et comme il s'agit d'une société connue dont on n'attend pas cette attitude, cela a pris de l'ampleur.
Enfin, un dernier point, le plus capital : il faut saluer le travail de Mark Russinovich, celui qui a détecté et analysé ce rootkit. Et aussi qui l'a publié, car imaginez qu'il soit interdit de divulguer des informations sur les techniques mises en œuvre par des logiciels... alors cette affaire n'aurait jamais vu le jour, tuée dans l'œuf.
Sources et liens :
- Article DRM Sony-BMG : chronique d'un massacre, de Tristan Nitot, Standblog, le 14 novembre 2005, http://standblog.org/blog/2005/11/14/93114500-drm-sony-bmg-chronique-d-un-massacre
Voir aussi l'article à propos d'autres exemples d'actions du même type menées sur les ordinateurs
7 réactions
1 De Denis (Denzz) - 15/11/2005, 02:15
Bonjour,
Depuis l'article de Tristan Nitot sur Standblog, je vois ce débat se répandre sur le Net à très grande vitesse... Il est vrai que cette affaire est scandaleuse.
Une mesure a été prise aujourd'hui même (je veux dire hier) par Microsoft pour contrer ces problèmes. Le rootkit sera mis sous contrôle via le logiciel Windows Antispyware (actuellement encore en phase de développement mais utilisé par des millions d'utilisateurs), et ce dernier sera mis à jour automatiquement toutes les semaines.
Plus d'informations dans cet article de Jason Garms, de la Microsoft Corporation (Anti-Malware Technology Team) : blogs.technet.com/antimal...
2 De Jey - 15/11/2005, 03:58
Salut,
cela dit, sans m'y connaître plus que ça, aussi absurde que ça puisse paraître (et ça l'est, en plus de le paraître), "l'interdiction de divulguer des informations" n'est pas du domaine du surréalisme. Avec ma maigre expérience de lecture d'articles, j'ai vu que ça arrive bien plus souvent qu'on le pense.
Genre (après une petite recherche d'articles que je me suis souvenu d'avoir lu il y a peu, plus ou moins):
- l'interdiction de parler publiquement de moyens de contourner un système de protection en Finlance si l'on en croit cet article:
linuxfr.org/2005/10/18/19...
- Ou encore Serge Humprich se fait condamner pour avoir démontré que les cartes bancaires étaient aisément falsifiables:www.barreau.qc.ca/journal...
- Un informaticien -- Jérome Créteaux -- qui démontre la même chose (enfin une absence de sécurité quoi) pour les cartes vitales: www.jpney.com/article.php...
- Un magazine (Pirates Mag) en difficulté qui disparaît car il traite de problèmes informatiques: www.acbm.com/virus/num_26... (je crois qu'ils ont cependant fini par s'en sortir miraculeusement)
- Un chercheur analyse l'antivirus nommé viguard et se fait attaquer: www.guillermito2.net/arch...
- Cisco et la notion de sécurité: linuxfr.org/2005/08/03/19...
- Y a aussi la fameuse et récente histoire de ce prof espagnol forcé de démissioner pour avoir fait une conférence sur les usages légaux des réseaux p2p: linuxfr.org/2005/06/12/19...
Enfin voilà, c'est ce que j'ai retrouvé en me fiant à mes souvenirs pour faire mes recherches, mais bon les exemples de ce types sont plus que légion malheureusement... il devient de plus en plus dur et légal de pouvoir dire la vérité sans se prendre un procès dans la tête dans bcp de milieux, notamment l'info.
Désolé, ça a pas grand chose à voir avec le reste de l'article, dont le sujet évidemment me "troue le cul" comme qui dirait. Mais bon, qu'ai-je d'autre à en dire, sinon que ça ne m'étonne pas tant que ça (en plus j'avais déjà lu l'article sur standblog, alors... lol), et en même temps, ça n'en reste pas moins aberrant, horrible, anti-libertaire, etc. Vive le Libre, et l'ouverture encore plus hein...
Enfin bon, le truc c'est qu'effectivement cette remarque finale sur la légalité de divulgation d'infos tout à fait vraies (et en plus dans un but sécuritaire, d'étude, scientifique, non intéressé, etc.) m'a qd même bcp interpelé, car les exemples qui montre qu'on va dans ce sens sont de plus en plus fréquents malheureusement. Je voulais donc en profiter pour en faire une démo par l'exemple.
3 De Matthieu - 15/11/2005, 08:46
Pour autant que j'aie pu en juger au gré de mes lectures sur le Web, il semblerait que les jeux video utilisent des techniques semblables pour se protéger contre la copie. Le système n'est pas nouveau, déjà connu, mais pour une raison quelconque, l'affaire Sony-BMG fait davantage de bruit...
4 De Gords - 15/11/2005, 10:57
Il y a une suite, sur Groklaw : www.groklaw.net/article.p...
5 De Jey - 15/11/2005, 18:39
Matthieu > Houlah... quel jeu vidéo utilise ce genre de méthode? Histoire que j'y joue jamais...
Je connais pas le sujet par coeur, mais même si les jeux vidéos utilisent de plus en plus de systèmes de protection, je crois pas avoir jamais entendu parler de cas si extrêmes. En général, c'est le même genre de protec que tout prog (soit des clés-CD bien souvent), voire au pire un système d'identification sur le net. Là où ça n'a rien à voir selon moi est qu'on est au moins prévenu! Ce n'est pas un système qui envoie des infos sans que tu saches rien, qui t'installe sans prévenir un logiciel espion, etc. Plus franc quoi (même si c'est également très nul).
Ensuite je peux me planter, et dans ce cas là, j'aimerais bien avoir quelques exemples de jeux qui feraient ça... Voire des sources, ce serait cool.
6 De Francesco - 16/11/2005, 19:46
On parle de spywares, certe, mais comment qualifier les choses quand c'est une imprimante (de marque japonaise, commençant par la troisième lettre de l'alphabet) laser, certe couleur et réseau, qui, innocemment connectée à un réseau d'entreprise donnant un accès sortant à Internet, se met à émettre des paquets à destination d'un des sites de son fabricant ?
Précisons que je n'ai trouvé mention de cette « feature » nul part dans les spécifications du produit (et il n'y a pas de license à lire, puisque c'est du matériel)
Géant, non : même plus besoin d'ordinateur !
C'est du vu et vécu : j'ai désormais une règle de filtrage spécifique vers l'extérieur pour cette « chose » venue d'un autre monde...
Bref, branchez votre aspirateur (si, si : imaginez que votre connexion Internet passe par les courants porteurs, EDF privatisé et tout et tout...) :
vous êtes fiché !
7 De Kev - 21/11/2005, 22:59
Huum, surpris pas vraiment. N'oublions pas que microsoft voulait également implementer des root-kits semblable à cela sur des cartes mère leur donnant pouvoir ainsi qu'au gouvernement de virer tout ce qu'il jugait non approprié (mp3, vidéos, logiciel, document word *qui parle contre le gouvernement par exemple) de vôtre disque dur. Pour sony je ne voit pas l'intérêt de cette technologie ! Tant que l'on peut écouter la musique il est possible de la copier, j'ai hâte qu'il le comprennent. Ils conaissent pas ça un line-in pis un logiciel pour enregistrer du son eux ??? Une telle technologie devrait être interdite, du moins ici au Canada.