
Extended Copy Protection ( XCP ) est un logiciel développé par la société britannique First 4 Internet (qui a changé de nom le 20 novembre 2006 pour devenir Fortium Technologies Ltd) et vendu comme système de protection contre la copie ou de gestion des droits numériques (DRM) pour les disques compacts . Il a été utilisé sur certains CD distribués par Sony BMG et a déclenché le scandale de protection contre la copie des CD de Sony BMG en 2005 ; dans ce contexte, il est également connu sous le nom de Sony rootkit .
Les chercheurs en sécurité, à commencer par Mark Russinovich en octobre 2005, ont décrit le programme comme étant fonctionnellement identique à un rootkit : un programme informatique utilisé par des intrus pour dissimuler des activités non autorisées sur un système informatique. Russinovich a révélé l'histoire sur son blog Sysinternals, où elle a attiré l'attention des médias et d'autres chercheurs. Cela a finalement conduit à un procès civil et à des enquêtes criminelles, qui ont forcé Sony à cesser d'utiliser le système.
Bien que Sony ait finalement rappelé les CD contenant le système XCP, le programme de désinstallation basé sur le Web a été étudié par les chercheurs en sécurité renommés Ed Felten et Alex Halderman , qui ont déclaré que le composant ActiveX utilisé pour supprimer le logiciel exposait les utilisateurs à des risques de sécurité beaucoup plus importants, notamment l'exécution de code arbitraire à partir de sites Web sur Internet.
Description
La version de ce logiciel utilisée dans les CD Sony est celle commercialisée sous le nom de « XCP-Aurora ». La première fois qu'un utilisateur tente de lire un tel CD sur un système Windows , il se voit présenter un contrat de licence d'utilisateur final . S'il l'accepte, le logiciel est installé, sinon le disque est éjecté. Le CLUF ne mentionne pas qu'il installe un logiciel caché. Le logiciel reste alors résident dans le système de l'utilisateur, interceptant tous les accès au lecteur de CD pour empêcher tout lecteur multimédia ou logiciel d'extraction autre que celui inclus avec XCP-Aurora d'accéder aux pistes musicales du CD Sony. Aucun moyen évident de désinstaller le programme n'est fourni. Tenter de supprimer le logiciel en supprimant manuellement les fichiers associés rendra le lecteur de CD inutilisable en raison des paramètres de registre que le programme a modifiés. Cependant, il a rapidement été découvert que le logiciel pouvait être facilement neutralisé en utilisant simplement un marqueur permanent pour dessiner une bordure sombre le long du bord du disque.
Recherche en sécurité
Après la publication des résultats de Mark Russinovich, d'autres chercheurs en sécurité ont rapidement publié leurs propres analyses. Bon nombre de ces résultats étaient très critiques à l'égard de Sony et de First 4 Internet. Plus précisément, il a été découvert que le logiciel dissimulait son activité à la manière d'un rootkit et exposait les utilisateurs à des dommages ultérieurs dus à des virus et des chevaux de Troie .
La technique de dissimulation de XCP, qui rend invisibles tous les processus dont le nom commence par $sys$, peut être utilisée par d'autres malwares qui s'y « greffent » pour s'assurer qu'ils sont eux aussi cachés de la vue de l'utilisateur. Le premier cheval de Troie malveillant à se cacher via XCP a été découvert le 10 novembre 2005 selon un rapport de la société d'antivirus BitDefender .
Des recherches complémentaires menées par Felten et Halderman ont montré que le programme de désinstallation Web proposé ultérieurement par Sony pour le logiciel contenait ses propres problèmes de sécurité critiques. Le logiciel installe un composant ActiveX qui permet à n'importe quel site Web d'exécuter un logiciel sur l'ordinateur de l'utilisateur sans restriction. Ce composant est utilisé par le site Web de First 4 Internet pour télécharger et exécuter le programme de désinstallation, mais il reste actif par la suite, permettant à tout site Web visité par l'utilisateur de prendre le contrôle de l'ordinateur.
Etant donné qu'il est spécifique à Microsoft Windows, XCP n'a aucun effet sur tous les autres systèmes d'exploitation tels que Linux , BSD , OS/2 , Solaris ou Mac OS X , ce qui signifie que les utilisateurs de ces systèmes ne subissent pas les dommages potentiels de ce logiciel et qu'ils ne sont pas non plus empêchés d' extraire les pistes musicales normales du CD. (Certains disques impliqués dans le scandale Sony contenaient une technologie concurrente, MediaMax de SunnComm , qui tente d'installer une extension du noyau sur Mac OS X. Cependant, en raison des autorisations de Mac OS X, il n'y a pas eu d'infections généralisées parmi les utilisateurs de Mac.)
Bien que Russinovich ait été le premier à publier des informations sur le rootkit, d'autres chercheurs l'avaient découvert à peu près au même moment, mais étaient encore en train de l'analyser ou avaient choisi de ne rien divulguer plus tôt en raison de l' effet dissuasif de la clause anti-contournement du Digital Millennium Copyright Act .
Réponse de l’industrie des antivirus
Peu de temps après que des chercheurs indépendants ont révélé l'histoire, les éditeurs de logiciels de sécurité ont donné suite, en publiant des descriptions détaillées des composants de XCP, ainsi qu'un logiciel permettant de supprimer le $sys$*composant de masquage de celui-ci. D'un autre côté, aucun logiciel n'a encore été publié pour supprimer le composant du pilote de filtre de CD-ROM. Computer Associates , créateur du logiciel anti-spyware PestPatrol , caractérise le logiciel XCP à la fois comme un cheval de Troie et un rootkit :
XCP.Sony.Rootkit installe un exécutable DRM en tant que service Windows , mais nomme ce service de manière trompeuse « Plug and Play Device Manager », en utilisant une technique couramment utilisée par les auteurs de programmes malveillants pour tromper les utilisateurs ordinaires en leur faisant croire qu'il s'agit d'une partie de Windows. Environ toutes les 1,5 secondes, ce service interroge les exécutables principaux associés à tous les processus en cours d'exécution sur la machine, ce qui entraîne des tentatives de lecture quasi continues sur le disque dur. Il a été démontré que cela raccourcit la durée de vie du disque.
De plus, XCP.Sony.Rootkit installe un pilote de périphérique , en particulier un pilote de filtre de CD-ROM, qui intercepte les appels au lecteur de CD-ROM. Si un processus autre que le lecteur de musique inclus (player.exe) tente de lire la section audio du CD, le pilote de filtre insère un bruit apparemment aléatoire dans les données renvoyées, rendant ainsi la musique inaudible.
XCP.Sony.Rootkit charge un pilote de filtre système qui intercepte tous les appels de listes de processus, de répertoires ou de registres, même ceux qui ne sont pas liés à l'application Sony BMG. Ce pilote de rootkit modifie les informations visibles par le système d'exploitation afin de masquer le logiciel Sony BMG. C'est ce que l'on appelle communément la technologie rootkit. De plus, le rootkit n'affecte pas seulement les fichiers de XCP.Sony.Rootkit. Ce rootkit cache tous les fichiers, processus ou clés de registre commençant par
$sys$. Cela représente une vulnérabilité, qui a déjà été exploitée pour masquer les hacks RING0 de World of Warcraft au moment de la rédaction de cet article, et pourrait potentiellement masquer les fichiers et processus d'un attaquant une fois l'accès à un système infecté obtenu.
En novembre 2005, Computer Associates a annoncé que son produit anti-spyware, PestPatrol , serait capable de supprimer les logiciels de Sony. Un mois plus tard, Microsoft a publié une mise à jour de son outil de suppression de logiciels malveillants qui pouvait nettoyer le malware F4IRootkit.
La réponse quelque peu lente et incomplète de certaines sociétés d'antivirus a cependant été remise en question par Bruce Schneier , expert en sécurité informatique et auteur d'articles et de textes sur la sécurité, notamment Secrets and Lies . Dans un article pour Wired News , M. Schneier demande : « Que se passe-t-il lorsque les créateurs de logiciels malveillants s'entendent avec les entreprises que nous engageons pour nous protéger de ces logiciels malveillants ? » Sa réponse est que « les utilisateurs perdent... Un rootkit dangereux et nuisible est introduit dans la nature, et un demi-million d'ordinateurs sont infectés avant que quiconque ne fasse quoi que ce soit. »
Impact du XCP
Dès août 2005, les utilisateurs de Windows ont signalé des plantages liés à un programme appelé aries.sys , tout en étant inexplicablement incapables de trouver le fichier sur leurs ordinateurs. Ce fichier est désormais connu pour faire partie de XCP. L'animateur de Call for Help, Leo Laporte, a déclaré qu'il avait constaté une augmentation des rapports de lecteurs de CD-ROM « manquants », symptôme de tentatives infructueuses de suppression de XCP.
Le chercheur en sécurité Dan Kaminsky a utilisé l'analyse du cache DNS pour déterminer que 568 000 réseaux dans le monde pourraient contenir au moins un ordinateur infecté par XCP. La technique de Kaminsky utilise le fait que les serveurs DNS mettent en cache les résultats récemment récupérés et que XCP appelle un nom d'hôte spécifique . En trouvant les serveurs DNS qui contiennent ce nom d'hôte dans le cache, Kaminsky a pu estimer le nombre de réseaux affectés. Après la publication des données, Kaminsky a appris qu'un nombre encore indéterminé de « CD améliorés » sans le rootkit appellent également à la même adresse que les disques affectés par le rootkit, de sorte que les taux d'infection font toujours l'objet d'une enquête active.
Défaut XCP
Selon le cabinet d'analyse Gartner , XCP souffre du même défaut d'implémentation de DRM que toute technologie DRM (actuelle ou future) qui tente d'appliquer des DRM aux CD audio conçus pour être lus sur des lecteurs de CD autonomes. Selon Gartner, étant donné que l'installation de XCP ou de tout logiciel DRM repose sur le fait que le CD est multisession, l'application d'encre (via un marqueur à pointe de feutre ordinaire) sur le bord extérieur du disque rend la piste de données du CD illisible, ce qui amène le PC à traiter le disque comme un CD de musique monosession ordinaire.
Le programme AnyDVD de Slysoft , qui supprime la protection contre la copie des DVD et des disques Blu-ray , neutralise également les DRM sur les CD audio. Lorsqu'il est actif et qu'un CD audio est inséré, AnyDVD empêche le PC d'accéder à toute session autre que l'audio, rendant les sessions de données illisibles et empêchant l'installation de logiciels malveillants tels que XCP.
Problèmes juridiques
Il existe de nombreuses spéculations sur la mesure dans laquelle les actions entreprises par ce logiciel constituent une violation de diverses lois contre les altérations non autorisées des ordinateurs ou des lois concernant l'invasion de la vie privée par des « logiciels espions », et sur la manière dont elles soumettent Sony et First 4 Internet à une responsabilité légale. Les États de Californie, de New York et du Texas, ainsi que l'Italie, ont déjà engagé des poursuites judiciaires contre les deux sociétés et d'autres recours collectifs sont probables. Cependant, le simple fait de tenter de visualiser ou de supprimer ce logiciel afin de déterminer ou d'empêcher son altération de Windows constituerait théoriquement une infraction civile ou pénale en vertu de certaines lois anti-contournement telles que le controversé Digital Millennium Copyright Act aux États-Unis.