au sommaire
Cascades de failles et de déboires pour la DRM de Sony
Qu'est-ce q'un rootkit ? C'est une variété particulièrement vicieuse de virus (heureusement rare actuellement), connue initialement sur LinuxLinux, puis sur Windows. Ces virus s'installent au niveau du noyau du système d'exploitation, en détournent certaines fonctions, et masquent leur présence et leur action de manière presque imparable. Donc rien à voir avec les "virus" actuellement diffusés qui sont en réalité des vers très faciles à trouver et à éradiquer.
En autopsiant le rootkit, Mark Russinovich découvrit qu'il portait la signature de Firts4Internet. Sachant que cette société avait fourni le système de protection de Sony, diffusé sous le nom First4Internet XCP il se rappela qu'il avait utilisé un CD de cet éditeur peu de temps auparavant. Il publia la découverte sur son blog et ce fut le début d'un scandale énorme.
Le problème est double. Ce rootkit déroute une fonction de Windows vers un driver spécifique à la DRM de Sony. Or, modifier un système d'exploitation à l'insu de l'utilisateur, même si ce n'est pas dans un but de nuisancenuisance, est inacceptable. On peut même s'interroger sur la légalité d'une telle pratique. On peut surtout s'interroger sur la déontologie d'une société fournissant un outil de protection contre le piratage, qui utilise une méthode utilisée par les pirates informatiques eux-mêmes !
De plus ce rootkit comporte des failles. D'une part il cache complètement au système d'exploitation tous les fichiers et répertoires commençant par $sys$ : initialement c'était pour se cacher lui-même dans un répertoire, mais on imagine que cette propriété peut être facilement exploitée par des auteurs de programmes malveillants qui se cacheraient à l'ombre du rootkit de Sony. D'autre part le driver présente des failles non publiées qui permettrait l'exécution de codes malveillants dans l'espace du kernelkernel lui-même (la pire situation qu'on puisse imaginer).
Rapidement des chevaux de Troiechevaux de Troie exploitant ce rootkit sont apparus. Par exemple une nouvelle variante du cheval de Troie Breplibot installe dans le dossier Windows des PCPC visés un programme de type porte dérobéeporte dérobée baptisé $sys$drv.exe. Il a été diffusé par un mail piégé qui prétendait provenir d'un magazine connu. Mais, même non parasité, ce rootkit semble introduire des instabilités du noyau du système.
Devant le tollé provoqué par cette information aux États-Unis en particulier, mais aussi de la part d'artistes édités par Sony eux-mêmes, puis devant la réaction des éditeurs d'antivirusantivirus, Sony a d'abord publié un patch de désinstallation qui ne résout qu'imparfaitement le problème. Il a dû publier ensuite un patch du patch ! Or cette correction est un activeXactiveX qui semble maintenir un lien permanent crypté avec l'éditeur et qui supporte des fonctions telles que "RebootMachine", "InstallUpdate", and "IsAdministrator". Ces fonctions, prises en main par un pirate, sont susceptibles de faire des dégats ou de permettre des contaminationscontaminations. Bref chaque étape apportait son lot de catastrophes.
Plusieurs éditeurs d'antivirus et d'anti-spywaresspywares décident alors de traiter le DRM de Sony comme un vulgaire rootkit qu'ils se proposent de désinstaller. Après hésitation (eh oui, MicrosoftMicrosoft et Sony ont des enjeux dans d'autres domaines) Microsoft à son tour décide de classer le produit comme rootkit et de l'éradiquer grâce à son antispyware. Enfin l'activeX du patch de désinstallation se nomme CodeSupport.ocx et peut être enlevé à la main.
Finalement Sony a annoncé qu'il renonçait à diffuser les CD employant cette technique de DRM. Après les méthodes de protection qui empêchent l'utilisation des CD audio qui les incorporent sur certains lecteurs, voici donc maintenant une technique mettant en danger les ordinateursordinateurs eux-mêmes ! Jusqu'où ira-t-on ?
par Jean-Pierre Louvet, Futura
le 18 novembre 2005
