Article de reference

Protection étendue contre la copie

Logo XCP Aurora Extended Copy Protection ( XCP ) est un logiciel développé par la société britannique First 4 Internet (qui a changé de nom le 20 novembre 2006 pour devenir Fort...

Logo XCP Aurora

Extended Copy Protection ( XCP ) est un logiciel développé par la société britannique First 4 Internet (qui a changé de nom le 20 novembre 2006 pour devenir Fortium Technologies Ltd) et vendu comme système de protection contre la copie ou de gestion des droits numériques (DRM) pour les disques compacts . Il a été utilisé sur certains CD distribués par Sony BMG et a déclenché le scandale de protection contre la copie des CD de Sony BMG en 2005 ; dans ce contexte, il est également connu sous le nom de Sony rootkit .

Les chercheurs en sécurité, à commencer par Mark Russinovich en octobre 2005, ont décrit le programme comme étant fonctionnellement identique à un rootkit : un programme informatique utilisé par des intrus pour dissimuler des activités non autorisées sur un système informatique. Russinovich a révélé l'histoire sur son blog Sysinternals, où elle a attiré l'attention des médias et d'autres chercheurs. Cela a finalement conduit à un procès civil et à des enquêtes criminelles, qui ont forcé Sony à cesser d'utiliser le système.

Bien que Sony ait finalement rappelé les CD contenant le système XCP, le programme de désinstallation basé sur le Web a été étudié par les chercheurs en sécurité renommés Ed Felten et Alex Halderman , qui ont déclaré que le composant ActiveX utilisé pour supprimer le logiciel exposait les utilisateurs à des risques de sécurité beaucoup plus importants, notamment l'exécution de code arbitraire à partir de sites Web sur Internet.

Description

La version de ce logiciel utilisée dans les CD Sony est celle commercialisée sous le nom de « XCP-Aurora ». La première fois qu'un utilisateur tente de lire un tel CD sur un système Windows , il se voit présenter un contrat de licence d'utilisateur final . S'il l'accepte, le logiciel est installé, sinon le disque est éjecté. Le CLUF ne mentionne pas qu'il installe un logiciel caché. Le logiciel reste alors résident dans le système de l'utilisateur, interceptant tous les accès au lecteur de CD pour empêcher tout lecteur multimédia ou logiciel d'extraction autre que celui inclus avec XCP-Aurora d'accéder aux pistes musicales du CD Sony. Aucun moyen évident de désinstaller le programme n'est fourni. Tenter de supprimer le logiciel en supprimant manuellement les fichiers associés rendra le lecteur de CD inutilisable en raison des paramètres de registre que le programme a modifiés. Cependant, il a rapidement été découvert que le logiciel pouvait être facilement neutralisé en utilisant simplement un marqueur permanent pour dessiner une bordure sombre le long du bord du disque.

Recherche en sécurité

Après la publication des résultats de Mark Russinovich, d'autres chercheurs en sécurité ont rapidement publié leurs propres analyses. Bon nombre de ces résultats étaient très critiques à l'égard de Sony et de First 4 Internet. Plus précisément, il a été découvert que le logiciel dissimulait son activité à la manière d'un rootkit et exposait les utilisateurs à des dommages ultérieurs dus à des virus et des chevaux de Troie .

La technique de dissimulation de XCP, qui rend invisibles tous les processus dont le nom commence par $sys$, peut être utilisée par d'autres malwares qui s'y « greffent » pour s'assurer qu'ils sont eux aussi cachés de la vue de l'utilisateur. Le premier cheval de Troie malveillant à se cacher via XCP a été découvert le 10 novembre 2005 selon un rapport de la société d'antivirus BitDefender .

Des recherches complémentaires menées par Felten et Halderman ont montré que le programme de désinstallation Web proposé ultérieurement par Sony pour le logiciel contenait ses propres problèmes de sécurité critiques. Le logiciel installe un composant ActiveX qui permet à n'importe quel site Web d'exécuter un logiciel sur l'ordinateur de l'utilisateur sans restriction. Ce composant est utilisé par le site Web de First 4 Internet pour télécharger et exécuter le programme de désinstallation, mais il reste actif par la suite, permettant à tout site Web visité par l'utilisateur de prendre le contrôle de l'ordinateur.

Etant donné qu'il est spécifique à Microsoft Windows, XCP n'a aucun effet sur tous les autres systèmes d'exploitation tels que Linux , BSD , OS/2 , Solaris ou Mac OS X , ce qui signifie que les utilisateurs de ces systèmes ne subissent pas les dommages potentiels de ce logiciel et qu'ils ne sont pas non plus empêchés d' extraire les pistes musicales normales du CD. (Certains disques impliqués dans le scandale Sony contenaient une technologie concurrente, MediaMax de SunnComm , qui tente d'installer une extension du noyau sur Mac OS X. Cependant, en raison des autorisations de Mac OS X, il n'y a pas eu d'infections généralisées parmi les utilisateurs de Mac.)

Bien que Russinovich ait été le premier à publier des informations sur le rootkit, d'autres chercheurs l'avaient découvert à peu près au même moment, mais étaient encore en train de l'analyser ou avaient choisi de ne rien divulguer plus tôt en raison de l' effet dissuasif de la clause anti-contournement du Digital Millennium Copyright Act .

Réponse de l’industrie des antivirus

Peu de temps après que des chercheurs indépendants ont révélé l'histoire, les éditeurs de logiciels de sécurité ont donné suite, en publiant des descriptions détaillées des composants de XCP, ainsi qu'un logiciel permettant de supprimer le $sys$*composant de masquage de celui-ci. D'un autre côté, aucun logiciel n'a encore été publié pour supprimer le composant du pilote de filtre de CD-ROM. Computer Associates , créateur du logiciel anti-spyware PestPatrol , caractérise le logiciel XCP à ​​la fois comme un cheval de Troie et un rootkit :

XCP.Sony.Rootkit installe un exécutable DRM en tant que service Windows , mais nomme ce service de manière trompeuse « Plug and Play Device Manager », en utilisant une technique couramment utilisée par les auteurs de programmes malveillants pour tromper les utilisateurs ordinaires en leur faisant croire qu'il s'agit d'une partie de Windows. Environ toutes les 1,5 secondes, ce service interroge les exécutables principaux associés à tous les processus en cours d'exécution sur la machine, ce qui entraîne des tentatives de lecture quasi continues sur le disque dur. Il a été démontré que cela raccourcit la durée de vie du disque.

De plus, XCP.Sony.Rootkit installe un pilote de périphérique , en particulier un pilote de filtre de CD-ROM, qui intercepte les appels au lecteur de CD-ROM. Si un processus autre que le lecteur de musique inclus (player.exe) tente de lire la section audio du CD, le pilote de filtre insère un bruit apparemment aléatoire dans les données renvoyées, rendant ainsi la musique inaudible.

XCP.Sony.Rootkit charge un pilote de filtre système qui intercepte tous les appels de listes de processus, de répertoires ou de registres, même ceux qui ne sont pas liés à l'application Sony BMG. Ce pilote de rootkit modifie les informations visibles par le système d'exploitation afin de masquer le logiciel Sony BMG. C'est ce que l'on appelle communément la technologie rootkit. De plus, le rootkit n'affecte pas seulement les fichiers de XCP.Sony.Rootkit. Ce rootkit cache tous les fichiers, processus ou clés de registre commençant par $sys$. Cela représente une vulnérabilité, qui a déjà été exploitée pour masquer les hacks RING0 de World of Warcraft au moment de la rédaction de cet article, et pourrait potentiellement masquer les fichiers et processus d'un attaquant une fois l'accès à un système infecté obtenu.

En novembre 2005, Computer Associates a annoncé que son produit anti-spyware, PestPatrol , serait capable de supprimer les logiciels de Sony. Un mois plus tard, Microsoft a publié une mise à jour de son outil de suppression de logiciels malveillants qui pouvait nettoyer le malware F4IRootkit.

La réponse quelque peu lente et incomplète de certaines sociétés d'antivirus a cependant été remise en question par Bruce Schneier , expert en sécurité informatique et auteur d'articles et de textes sur la sécurité, notamment Secrets and Lies . Dans un article pour Wired News , M. Schneier demande : « Que se passe-t-il lorsque les créateurs de logiciels malveillants s'entendent avec les entreprises que nous engageons pour nous protéger de ces logiciels malveillants ? » Sa réponse est que « les utilisateurs perdent... Un rootkit dangereux et nuisible est introduit dans la nature, et un demi-million d'ordinateurs sont infectés avant que quiconque ne fasse quoi que ce soit. »

Impact du XCP

Dès août 2005, les utilisateurs de Windows ont signalé des plantages liés à un programme appelé aries.sys , tout en étant inexplicablement incapables de trouver le fichier sur leurs ordinateurs. Ce fichier est désormais connu pour faire partie de XCP. L'animateur de Call for Help, Leo Laporte, a déclaré qu'il avait constaté une augmentation des rapports de lecteurs de CD-ROM « manquants », symptôme de tentatives infructueuses de suppression de XCP.

Le chercheur en sécurité Dan Kaminsky a utilisé l'analyse du cache DNS pour déterminer que 568 000 réseaux dans le monde pourraient contenir au moins un ordinateur infecté par XCP. La technique de Kaminsky utilise le fait que les serveurs DNS mettent en cache les résultats récemment récupérés et que XCP appelle un nom d'hôte spécifique . En trouvant les serveurs DNS qui contiennent ce nom d'hôte dans le cache, Kaminsky a pu estimer le nombre de réseaux affectés. Après la publication des données, Kaminsky a appris qu'un nombre encore indéterminé de « CD améliorés » sans le rootkit appellent également à la même adresse que les disques affectés par le rootkit, de sorte que les taux d'infection font toujours l'objet d'une enquête active.

Défaut XCP

Selon le cabinet d'analyse Gartner , XCP souffre du même défaut d'implémentation de DRM que toute technologie DRM (actuelle ou future) qui tente d'appliquer des DRM aux CD audio conçus pour être lus sur des lecteurs de CD autonomes. Selon Gartner, étant donné que l'installation de XCP ou de tout logiciel DRM repose sur le fait que le CD est multisession, l'application d'encre (via un marqueur à pointe de feutre ordinaire) sur le bord extérieur du disque rend la piste de données du CD illisible, ce qui amène le PC à traiter le disque comme un CD de musique monosession ordinaire.

Le programme AnyDVD de Slysoft , qui supprime la protection contre la copie des DVD et des disques Blu-ray , neutralise également les DRM sur les CD audio. Lorsqu'il est actif et qu'un CD audio est inséré, AnyDVD empêche le PC d'accéder à toute session autre que l'audio, rendant les sessions de données illisibles et empêchant l'installation de logiciels malveillants tels que XCP.

Problèmes juridiques

Il existe de nombreuses spéculations sur la mesure dans laquelle les actions entreprises par ce logiciel constituent une violation de diverses lois contre les altérations non autorisées des ordinateurs ou des lois concernant l'invasion de la vie privée par des « logiciels espions », et sur la manière dont elles soumettent Sony et First 4 Internet à une responsabilité légale. Les États de Californie, de New York et du Texas, ainsi que l'Italie, ont déjà engagé des poursuites judiciaires contre les deux sociétés et d'autres recours collectifs sont probables. Cependant, le simple fait de tenter de visualiser ou de supprimer ce logiciel afin de déterminer ou d'empêcher son altération de Windows constituerait théoriquement une infraction civile ou pénale en vertu de certaines lois anti-contournement telles que le controversé Digital Millennium Copyright Act aux États-Unis.

Fred von Lohmann, de l' Electronic Frontier Foundation, a également vivement critiqué le CLUF XCP , le qualifiant de « rootkit juridique ».

L'une des principales raisons de l'expérimentation XCP réside dans la question de l'ajout de DRM à une norme existante. Ces problèmes sont étudiés par le professeur Randal Picker, professeur de droit à la faculté de droit de l'université de Chicago , dans son article « Mistrust-Based Digital Rights Management », publié dans le volume 5 du Journal on Telecommunications and High Technology Law . Les CD en eux-mêmes ne sont pas capables de mettre à jour le matériel existant, comme les lecteurs de CD autonomes, et n'ont pas la capacité de modifier ou de mettre à niveau le micrologiciel pour lire les DRM. Ainsi, les DRM doivent être ajoutés pour ne pas interférer avec le fonctionnement des lecteurs existants tout en continuant à fonctionner lorsque le même CD est placé dans un ordinateur. Picker analyse les quatre principaux problèmes liés aux DRM supplémentaires.

Le premier problème, comme le montre l'exemple de XCP, est que les consommateurs avertis peuvent simplement contourner le DRM. La désactivation de l'exécution automatique a empêché l'installation du rootkit et a donc invalidé le schéma DRM.

Le deuxième problème est la réaction des consommateurs. L’ajout de DRM à un produit traditionnel comme les CD de musique, qui traditionnellement ne disposaient d’aucun système de gestion des droits, va exaspérer les consommateurs. Picker souligne qu’à la suite de la publicité négative entourant le DRM supplémentaire de Sony, Amazon.com a commencé à alerter les clients sur les CD Sony contenant du XCP. Les clients pourraient éviter complètement le DRM, ce qui annulerait son efficacité.

Le troisième problème réside dans la réponse juridique. L'EFF, ainsi que les procureurs généraux des États, ont enquêté et intenté un procès contre Sony à propos du programme XCP. Picker n'analyse pas les mérites juridiques de telles poursuites, mais le coût du litige dépasse potentiellement les avantages de tenter d'ajouter des DRM.

Le quatrième et dernier problème réside dans le fait que le contrat de licence d'utilisateur final tente d'être appliqué par le DRM complémentaire. La capacité à appliquer effectivement ces accords sur le DRM complémentaire est limitée par le simple fait que sans enregistrement actif et suivi des CD, l'entreprise n'aura personne à qui s'adresser. Par conséquent, l'avantage attendu de l'application du CLUF aux contrevenants est en fait inexistant ; les coûts, cependant, de la mise en œuvre du système de DRM complémentaire, sous la forme d'enquêtes étatiques et fédérales, de poursuites privées, de publicité négative, de réactions négatives des consommateurs et de limitations techniques, dépassent de loin les avantages.

Violations du droit d'auteur

Le chercheur Sebastian Porst, Matti Nikki et un certain nombre d'experts en logiciels ont publié des preuves selon lesquelles le logiciel XCP enfreint les droits d'auteur de l' encodeur mp3 LAME , mpglib , FAAC id3lib ( lecture et écriture de balises ID3 ), mpg123 et le lecteur multimédia VLC .

Alex Halderman, chercheur à Princeton, a découvert que sur presque tous les CD XCP, un code utilisant une version modifiée du logiciel DRMS ​​de Jon Johansen qui permet d'ouvrir le DRM FairPlay d' Apple Computer est inclus. Il a découvert que le code était inactif, mais entièrement fonctionnel car il pouvait l'utiliser pour insérer des chansons dans Fairplay. DRMS, mpg123 et VLC sont sous licence GNU General Public License (GPL). Les autres logiciels trouvés, comme LAME, sont sous licence GNU Lesser General Public License (LGPL), également en tant que logiciel libre . Si les affirmations sont correctes, alors Sony/BMG distribuait illégalement du matériel protégé par le droit d'auteur.

Jon Johansen a écrit dans son blog qu'après avoir parlé avec un avocat, il pense qu'il ne peut pas intenter de poursuites ; cependant, certains pensent que les conseils qui lui ont été donnés sont erronés. Les développeurs de LAME ont mis en ligne une lettre ouverte adressée à Sony/BMG.

Les violations du droit d’auteur dont Sony pourrait être accusé incluent :

Sony fournit déjà une version du code source d'id3lib sur son site Web, mais sans rapport avec XCP.

La réponse de Sony

Lors d'une émission de la National Public Radio , Thomas Hesse , président de la division numérique mondiale de Sony BMG, a demandé : « Je pense que la plupart des gens ne savent même pas ce qu'est un rootkit, alors pourquoi devraient-ils s'en soucier ? » l'extraction non autorisées . »

Sony affirme également que le « composant n'est pas malveillant et ne compromet pas la sécurité », mais « pour apaiser les inquiétudes des utilisateurs quant aux vulnérabilités potentielles de sécurité du programme, cette mise à jour a été publiée pour permettre aux utilisateurs de supprimer le composant rootkit de leurs ordinateurs ».

Une analyse de ce programme de désinstallation a été publiée par Mark Russinovich, qui a initialement découvert XCP, sous le titre « More on Sony: Dangerous Decloaking Patch, EULAs and Phoning Home ». Pour obtenir le programme de désinstallation d'origine, il faut utiliser un navigateur spécifique (Microsoft Internet Explorer ) et remplir un formulaire en ligne avec son adresse e-mail, recevoir un e-mail, installer le correctif, remplir un deuxième formulaire en ligne, puis recevoir un lien vers le programme de désinstallation. Le lien est personnalisé et ne fonctionnera pas pour les désinstallations multiples. De plus, la politique de confidentialité de Sony stipule que cette adresse peut être utilisée pour des promotions ou donnée à des affiliés ou à des « tiers réputés qui peuvent vous contacter directement ».

Il a également été signalé que le programme de désinstallation pourrait présenter des problèmes de sécurité qui permettraient l'exécution de code à distance. La page de désinstallation de Sony tentait d'installer un contrôle ActiveX lorsqu'il s'affichait dans Internet Explorer. Ce contrôle ActiveX était marqué « Sûr pour les scripts », ce qui signifie que n'importe quelle page Web peut utiliser le contrôle et ses méthodes. Certaines des méthodes fournies par ce contrôle étaient dangereuses, car elles pouvaient permettre à un attaquant de télécharger et d'exécuter du code arbitraire.

Le 11 novembre 2005, Sony a annoncé qu'il suspendrait la fabrication de CD utilisant le système XCP :

« Par mesure de précaution, Sony BMG suspend temporairement la fabrication de CD contenant la technologie XCP », a indiqué le groupe dans un communiqué.

« Nous avons également l'intention de réexaminer tous les aspects de notre initiative de protection du contenu pour être sûrs qu'elle continue à répondre à nos objectifs de sécurité et de facilité d'utilisation pour le consommateur », a ajouté Sony BMG.

Ceci fait suite aux commentaires de Stewart Baker , secrétaire adjoint chargé de la politique au Département de la sécurité intérieure , dans lesquels il a pris à partie les fabricants de DRM, comme le rapporte le Washington Post :

Dans une remarque clairement destinée à Sony et à d'autres marques, Stewart a poursuivi : « Il est très important de se rappeler qu'il s'agit de votre propriété intellectuelle, et non de votre ordinateur. Et dans la poursuite de la protection de la propriété intellectuelle, il est important de ne pas contrecarrer ou de saper les mesures de sécurité que les gens doivent adopter de nos jours. »

Selon le New York Times , Sony BMG a déclaré que « environ 4,7 millions de CD contenant le logiciel avaient été expédiés et environ 2,1 millions avaient été vendus ». 52 albums contenant XCP ont été distribués par Sony-BMG.

Le 14 novembre 2005, Sony a annoncé qu'il rappelait les CD concernés et prévoyait de proposer des échanges aux consommateurs ayant acheté les disques.

Albums avec XCP

L' Electronic Frontier Foundation a publié sa liste originale de 19 titres le 9 novembre 2005. Le 15 novembre 2005, The Register a publié un article indiquant qu'il pourrait y avoir jusqu'à 47 titres. Sony BMG indique qu'il y a 52 CD XCP.

Amazon affirme qu'elle traite les CD XCP comme des marchandises défectueuses et qu'elle offrira un remboursement avec expédition, à condition que le client en fasse la demande. Les divers effets secondaires indésirables de XCP peuvent rationnellement être considérés comme des défauts, car ils ne font pas partie de la fonction (apparente) prévue de XCP ; ce point de vue évite la question plus substantielle de savoir si Sony a transgressé contre les propriétaires d'ordinateurs en modifiant intentionnellement leurs systèmes informatiques sans leur consentement.

Remarques