Qu'est-ce qu'un Rootkit ?

C'est un logiciel permettant à un logiciel espion de rester invisible aux yeux de l'administrateur de la machine. Ce dernier a l'impression d'avoir une machine "saine" (ni infectée par un virus, ni piratée) alors qu'en fait, des programmes pirates tournent de façon invisible sur sa machine. Les rootkits sont utilisés par les pirates pour cacher leurs méfaits et le plus souvent pour laisser tourner sur la machine des portes dérobées qui permettent de prendre le contrôle de la machine quand on le souhaite.

Mark Russinovich découvre que le rootkit en question a été installé par un CD vendu par Sony-BMG, intitulé Get Right With The Man du groupe Van Zant. Mark décrit cela avec force détails sur son blog.

En lisant le contrat de licence

Il s'avère en fait qu'en acceptant le Contrat de Licence pour l'Utilisateur Final (CLUF/EULA) qui s'affiche quand on insère le CD dans le PC, Sony vous fait gober des trucs assez incroyables. Lisez plutôt l'analyse du CLUF Sony-BMG par l'EFF (association de défense des libertés en ligne). L'EFF rappelle très à propos que quand vous achetez un CD, vous avez le droit d'en faire ce que vous voulez, du moment que vous ne violez pas les droits de l'artiste. En particulier, vous pouvez l'écouter avec vos amis, le prêter, en faire une copie à usage privée sur votre iPod. C'est possible, car vous possédez le CD. Par contre, en acceptant le CLUF du CD de Sony-BMG, la situation change du tout au tout. Voici une traduction partielle de l'article de l'EFF :

  • Si on vous vole le CD, il faut supprimer la musique transférée sur votre machine ;
  • On ne peut pas écouter la musique sur un système dont on n'est pas propriétaire (donc pas sur le portable prêté par l'entreprise) ;
  • Si on déménage à l'étranger, il faut supprimer la musique (il est en effet illégal de l'exporter) ;
  • Sony-BMG décline toute responsabilité si des problèmes de sécurité arrivent sur votre machine suite à l'installation du logiciel contenu sur le CD ;
  • En cas de procès, vous acceptez que la responsabilité de Sony-BMG soit limité à un maximum de 5 dollars !!!
  • Si vous faites faillite, vous devez supprimer toute musique de votre ordinateur ;
  • Il n'est pas possible d'utiliser la musique en fond sonore pour votre projection de photos numériques ou pour faire des remix, même à usage strictement privé, car toute oeuvre dérivée est interdite.

Bref, en achetant ce CD et en essayant de l'écouter sur votre ordinateur, vous acceptez que Sony-BMG réduise vos droits plus encore que ce que fait la loi française.

Est-ce juste un problème légal ?

Mark Russinovich va plus loin, et il démontre que Sony-BMG peut (il évoque simplement la possibilité) de suivre la musique que vous écoutez, et quand. En effet, le logiciel installé se connecte sur Internet sans prévenir. Officiellement, c'est juste pour afficher une image anodine qui change régulièrement.

La vie privée du client prend donc un coup au passage.

L'arroseur arrosé

On pourrait croire que Sony-BMG, c'est la bonne boite qui protège ses artistes contre ses salauds de clients qui pourraient pirater, mais on arrive sur un détail absolument sublime d'ironie :

le logiciel installé par Sony-BMG semble bien intégrer un logiciel Libre, LAME, sous licence LGPL en violation de cette licence.

Autrement dit, Sony-BMG fait lui-même aux logiciels Libres, et à l'échelle industrielle, ce qu'il reproche à certains de ses propres clients de vouloir faire...

Les pirates utilisent le Rootkit de Sony-BMG pour leurs basses oeuvres

On en parle ici et là :

Faire semblant de demander pardon

Sony-BMG lâche un peu de lest et annonce une solution qui n'en est pas une, sans promettre pour autant de ne pas récidiver. Les problèmes s'accumulent pour la firme :

Mise à jour :  :

Conclusion

J'espère de tout coeur que ce massacre médiatique va faire prendre conscience au grand public des dangers du DRM, qui déjà un impact fondamental sur ses droits, qu'il s'agisse de la vie privée, ou de ce qu'il peut faire avec la musique qu'il a acheté. Je suis bien conscient qu'une partie de la clientèle des maisons de disques pirate la musique, et c'est quelque chose que je condamne. Mais cela n'est pas une raison pour dépasser les bornes...

  • En installant des logiciels dangereux et furtifs sur les machines des usagers ;
  • En bafouant la licence de logiciels Libres ;
  • En mettant à mal la vie privée des clients (ça fait bien longtemps qu'ils ne sont plus rois, les clients des majors) ;
  • En restreignant plus encore que la loi les droits des usagers.

Sony-BMG a franchi la ligne jaune avec allégresse. Mais ne stigmatisons pas cette entreprise. Tous ses semblables sont dans une approche très similaire, et Microsoft n'est pas en reste, je l'ai suffisament répété dans ces colonnes : Installer le Service Pack 2 d'XP, c'est accepter le DRM. Comme le dit très bien Groklaw, Sony est juste un symptome.

Très récemment, ZDNet.fr titrait Les plates-formes de musique mal notées par les associations de consommateurs de l'Union. Principal problème : l'absence d'interopérabilité provoquée par les DRM (rappelons que le MP3, même breveté, était interopérable, lui !). Voilà qui est révélateur d'une partie du problème. L'autre, c'est le matraquage de la clientèle avec des produits de qualité médiocre... Voir à ce sujet Le pirate, ce bouc émissaire.

Mise à jour : TF1.fr me fait l'honneur d'une citation dans un article sur cette histoire. Merci à Bruno pour le lien. (Et merci à Daniel pour le lien vers le même article chez LCI). PCinpact aussi.

Autres articles :

n-ième mise à jour :

  • BoingBoing : Sony infects more than 500k networks, including military and govt. En substance, un chercheur en informatique a scanné des serveurs DNS américains pour voir s'ils avaient été utilisés récemment pour se connecter aux sites de Sony-BMG. En gros, 568.000 réseaux ont une ou plusieurs machines infectées par le Rootkit de Sony-BMG dont, bien sûr, des machines militaires US et du gouvernement US. L'article est fascinant. Merci à Marc pour le lien.
  • BoingBoing propose aussi un calendrier des bévues de Sony-BMG qui est particulièrement bien fait. Je vous encourage à le lire, c'est un bon complément à mon billet, d'autant que je manque de temps pour rentrer dans le détail autant que je le voudrais. (Voir aussi le n-ième rebondissement Sony a annoncé que 100% des disques sortant d'ici fin 2005 auraient le Rootkit (avant de faire marche arrière.). Interviewé, le patron de Sony-BMG a déclaré : Most people, I think, don't even know what a rootkit is, so why should they care about it? / La plupart des gens, d'après moi, ne savent pas ce que c'est qu'un rootkit, alors pourquoi devraient-ils se préoccuper de cela ?. Une vraie tête de vainqueur !