Rootkit de Sony : le grand mea culpa
Il jura, mais un peu tard, qu’on ne l’y reprendrait plus
Ah, ils doivent faire jolie tête, chez Sony-BMG, en ce moment. Si on leur avait dit, il y a encore deux mois, qu’ils auraient affaire à une véritable armée de consommateurs mécontents qui les forceraient à signer un accord de non-prolifération des logiciels malveillants, ils auraient sûrement bien rigolé.
Et c’est pourtant ce qui vient de se passer, au terme d’une lutte acharnée contre les deux espions de l’éditeur de musique XCP et MediaMax. XCP avait ouvert le bal avec son – désormais fameux, ironique destinée pour un composant modifiant le système pour passer inaperçu – rootkit, et MediaMax avait subi le contrecoup de la colère du public. Sony a même eu droit à un dépôt de plainte par la branche italienne de l’EFF et à deux procès engagés par un procureur texan.
Un accord à l’amiable a été trouvé entre Sony-BMG et les victimes ayant engagé une class-action contre elle. Aujourd’hui, donc, la firme tente de se racheter en indemnisant les victimes d’une part et en signant un acte de bonne volonté d’autre part. Le volet indemnisation est intéressant non par ses chiffres mais car en plus du remboursement des CD incriminés, Sony devra distribuer des bons d’achat gratuits pour des albums valables dans un parmi trois magasins en ligne, y compris le grand concurrent iTunes.
Mais le plus intéressant est bien sûr la charte de bonne conduite vis-à-vis des procédures de protection des droits d’auteur que l’éditeur a accepté de respecter jusqu’en 2008, et dont voici les principaux points :
– XCP et MediaMax seront abandonnés ;
– signaler clairement l’utilisation des dispositifs de protection sur chaque CD les utilisant ;
– garantir que le contrat de licence fait état, et en langage accessible à tous, du système de protection et de son fonctionnement ;
– garantir que le dispositif ne sera installé qu’après acceptation du contrat de licence de la part de l’utilisateur ;
– garantir la possibilité de désinstaller de manière simple et totale le dispositif ;
– prévenir les utilisateur de chaque mise à jour du système et des modifications apportées à son fonctionnement ;
– solliciter (et publier ?) l’avis d’une personnalité extérieur à propos du contrat de licence ;
– solliciter (et publier ?) la confirmation de la part d’un expert en sécurité indépendant que le dispositif de protection ne crée pas de vulnérabilité dans le système de l’ordinateur ;
– s’engager à réparer toutes les failles et problèmes générés par ces logiciels de protection ;
– s’engager à ne collecter que le minimum de données sur l’utilisateur permettant au système de protection de fonctionner.
Certains esprits chagrins ne manqueront pas de remarquer que la plupart de ces conditions ne sont que pur bon sens. D’autres, plus optimistes, espèrent que ce texte (qui reste encore à valider par le juge de l’affaire, ce qui ne devrait pas poser de problème) servira de base à un amendement à l’actuel DMCA, ou même à un hypothétique tout nouveau DRMPA… Sans trop rêver non plus, reconnaissons qu’il s’agit quand même d’un pas dans la bonne direction.