Archive pour 30 décembre 2005

Rootkit de Sony : le grand mea culpa

vendredi 30 décembre 2005

Ah, ils doivent faire jolie tête, chez Sony-BMG, en ce moment. Si on leur avait dit, il y a encore deux mois, qu’ils auraient affaire à une véritable armée de consommateurs mécontents qui les forceraient à signer un accord de non-prolifération des logiciels malveillants, ils auraient sûrement bien rigolé.

Et c’est pourtant ce qui vient de se passer, au terme d’une lutte acharnée contre les deux espions de l’éditeur de musique XCP et MediaMax. XCP avait ouvert le bal avec son – désormais fameux, ironique destinée pour un composant modifiant le système pour passer inaperçu – rootkit, et MediaMax avait subi le contrecoup de la colère du public. Sony a même eu droit à un dépôt de plainte par la branche italienne de l’EFF et à deux procès engagés par un procureur texan.

Un accord à l’amiable a été trouvé entre Sony-BMG et les victimes ayant engagé une class-action contre elle. Aujourd’hui, donc, la firme tente de se racheter en indemnisant les victimes d’une part et en signant un acte de bonne volonté d’autre part. Le volet indemnisation est intéressant non par ses chiffres mais car en plus du remboursement des CD incriminés, Sony devra distribuer des bons d’achat gratuits pour des albums valables dans un parmi trois magasins en ligne, y compris le grand concurrent iTunes.

Mais le plus intéressant est bien sûr la charte de bonne conduite vis-à-vis des procédures de protection des droits d’auteur que l’éditeur a accepté de respecter jusqu’en 2008, et dont voici les principaux points :

– XCP et MediaMax seront abandonnés ;
– signaler clairement l’utilisation des dispositifs de protection sur chaque CD les utilisant ;
– garantir que le contrat de licence fait état, et en langage accessible à tous, du système de protection et de son fonctionnement ;
– garantir que le dispositif ne sera installé qu’après acceptation du contrat de licence de la part de l’utilisateur ;
– garantir la possibilité de désinstaller de manière simple et totale le dispositif ;
– prévenir les utilisateur de chaque mise à jour du système et des modifications apportées à son fonctionnement ;
– solliciter (et publier ?) l’avis d’une personnalité extérieur à propos du contrat de licence ;
– solliciter (et publier ?) la confirmation de la part d’un expert en sécurité indépendant que le dispositif de protection ne crée pas de vulnérabilité dans le système de l’ordinateur ;
– s’engager à réparer toutes les failles et problèmes générés par ces logiciels de protection ;
– s’engager à ne collecter que le minimum de données sur l’utilisateur permettant au système de protection de fonctionner.

Certains esprits chagrins ne manqueront pas de remarquer que la plupart de ces conditions ne sont que pur bon sens. D’autres, plus optimistes, espèrent que ce texte (qui reste encore à valider par le juge de l’affaire, ce qui ne devrait pas poser de problème) servira de base à un amendement à l’actuel DMCA, ou même à un hypothétique tout nouveau DRMPA… Sans trop rêver non plus, reconnaissons qu’il s’agit quand même d’un pas dans la bonne direction.

Comment gagner 1 million de dollars

vendredi 30 décembre 2005

La société de consommation est une hiérarchie assez simple car toujours basée sur deux classses : Il y a ceux qui créent et ceux qui consomment, ceux qui vendent et ceux qui achètent, ceux qui arnaquent et ceux qui se font arnaquer, etc. Mais il y a toujours quelques cas particuliers, quelques petits malins qui échappent à cette dualité, ou mieux encorent arrivent à l’utiliser à leur propre bénéfice.

Alex Tew, étudiant anglais de 21 ans, fait probablement partie de ces rares personnes. Se demandant comment il va pouvoir financer ses études à l’université, il a l’idée d’ouvrir un site web sur lequel il va mettre en vente des pixels. Il met ainsi en ligne une image d’un million de pixels, la découpe en carrés de 100 pixels chacuns et ouvre à la vente pour environ 100 dollars, offrant ainsi la possibilité aux acheteurs d’y afficher ce qu’ils souhaitent. Il vend les premiers à quelques proches et amis puis, une fois son premier millier de dollars en poche, s’achète un article de presse. La curiosité et le buzz ont fait le reste : l’opération s’est très vite auto-transformée en campagne d’affichage publicitaire et, en moins de 4 mois, il a réussi à vendre plus de 90% de ses cases, bien parti pour toucher le million espéré.

Le site ressemble maintenant à une énorme mosaïque de lettres et de petites images colorées, mais incluant assez peu de logos connus. Il semble que ce soient plutôt de jeunes petites entreprises du web qui cherchent à bénéficier de cette forme révolutionnaire de sponsoring personnel. Lequel fait déjà des envieux, car on y trouve même des “clones” du site en question, dont un français !