Le grain de Celeri

La nouvelle console de Microsoft, nommée Xbox 360, est sortie hier aux USA en grande pompe. De nombreux fans étaient là pour s’arracher joyeusement les premiers (maigres) stocks disponibles, parfois pour les revendre sur eBay au prix original (de 300 à 400 $) multiplié par 2 ou 3.

La bête peut se targuer de performances brutes parait-il assez stupéfiantes, il n’empêche qu’à peine 24 heures plus tard, on note une recrudescence de sujets dans lesquels les forums de joueurs annoncent avoir des plantages avec la Xbox 360, et notamment avec Project Gotham Racing 3, un des jeux phares du lancement de la console.

Les avis s’orientent vers l’idée que Microsoft tenait tellement à sortir sa machine avant noël (et avant ses concurrents) que les tests de qualité, normalement draconiens pour les jeux sur consoles à cause de la difficulté de distribuer des correctifs, n’ont pas été menés avec toute l’attention qui leur était due.

Microsoft nous referait-il le coup d’utiliser ses clients comme bêta-testeurs ? Verra-t-on bientôt un service Xbox Update qui installera automatiquement les mises à jour des jeux buggés ? A quand le Xbox Service Pack 1 ? ;-)

Le groupe de recherche et d’analyses technologiques Gartner signale qu’en collant un petit morceau de papier adhésif opaque sur le bord extérieur des CD audio protégés par XCP (le système anti-copie des droits numériques de Sony très controversé depuis trois semaines à cause du rootkit qu’il installe, pour ceux qui reviendraient d’un voyage sur la lune), on désactive la protection. De fait, la manipulation rend illisible la session supplémentaire ajoutée au CD et l’ordinateur lit alors ce dernier comme un vulgaire CD audio non protégé.

Plusieurs remarques s’ensuivent. Primo, quelle ironie qu’une telle débauche de moyen de verrouillage anti-copie (installation invisible d’un espion occasionnant une énorme faille de sécurité) se fasse désintégrer par un petit morceau de scotch… “Aux grands maux les grands remèdes” ne se vérifie pas toujours.

Secundo, cette astuce de déblocage est très semblable à celle qui fonctionnait déjà avec les premiers CD audio protégés… d’août 2001 ! Elle est même plus simple encore ! On se rappelle également du coup du feutre noir, qui permettait de contourner la protection key2audio, élaborée en 2002 par un certain… Sony. Oui, vous avez bien lu : en quatre ans, en prétendant protéger les droits d’auteur, tout ce qu’est arrivée à faire l’industrie est mettre en danger nos ordinateurs.

Selon Gartner, tant que les CD vendus dans le commerce devront être lisibles sur une platine standard, il sera impossible de rendre les protections efficaces, ce que pense également. Un des théorème de base de l’informatique dit : “ce que je peux lire, je peux le copier”, le tout est de trouver le meilleur moyen. Ceci est particulièrement vrai pour l’audio, quitte à utiliser des moyens détournés… comme le passage par la gravure d’un CD audio après achat d’un morceau, ou par un câble analogique pour ré-enregistrer le son, par exemple.

Enfin, je me demande si Gartner ne prend pas un risque en révélant cette information, car il me semble que cette publication viole la partie “anti-circumvention” du DMCA, le package de lois anti-piratage voté aux USA qui interdit la révélation de telles bidouilles favorisant des actes de copie illégale. Remarquez, dans la mesure où cette manipulation permet une meilleure interopérabilité du CD avec les systèmes, ainsi que l’empêchement d’une brèche de sécurité de se former, je serais surpris de voir Sony porter plainte.

En revanche, la directive européenne EUCD, similaire au DMCA et actuellement transposée en France dans l’urgence avec la loi DADVSI, elle, ne considère pas l’intéropérabilité comme une circonstance de tolérance…

La RIAA, vous connaissez ? Il s’agit de cette toute-puissante association américaine d’éditeurs de musique qui s’est donnée comme objectif d’éradiquer la piraterie en affrontant, en justice s’il le faut, tout ce qui ressemble de près ou de loin à une copie de musique, même non répréhensible moralement ou légalement.

Aujourd’hui, son président Cary Sherman participait à une conférence de presse au cours de laquelle il a pu exposer son point de vue sur la fermeture de réseaux P2P comme Grokster ou i2hub, l’utilisation personnelle de la musique et le “fair use“… mais aussi de l’infameux rootkit de Sony-BGM. Je traduis et commente ce passage qui vaut son pesant de chansons pop à deux francs :

“Il n’y a rien d’anormal à ce qu’on utilise la technologie pour défendre la propriété intellectuelle.”

D’accord, mais quand cette technologie met en péril un bien matériel (chèrement) acquis par les clients, et sans les en informer, est-ce toujours de la protection ?

“Le problème avec cette situation est que Sony-BMG a utilisé une technologie contenant un trou de sécurité dont ils n’avaient pas connaissance.“

Autrement dit : les ingénieurs de Sony sont trop bêtes pour avoir pu se douter un seul instant qu’un dispositif capable de rendre indétectable n’importe quel programme aux yeux du système était potentiellement dangereux…

“Ils se sont excusés , ont arrêté de fabriquer les CD incriminés et ont retiré les derniers du marché, ça me semble tout à fait responsable.”

Oui, on le sait, ils se sont excusés en fournissant deux patchs de désinstallation eux aussi dangereux (voire plus que le rootkit lui-même)… et les CD déjà vendus, ont-ils été rappelés ? Les victimes du bug utilisant ce rootkit ont-elles été indemnisées ou ont-elles reçu un quelconque support ?

La suite est à l’avenant, le monsieur affirmant que les éditeurs tiennent absolument à donner aux gens ce qu’ils veulent, à savoir une musique riche et utilisable à loisir… alors que bon nombre des services en ligne, en plus d’un éventail de choix extrêmement populiste, ne proposent que peu de solutions de copie personnelle ou de réutilisation.

Autre passage intéressant vers la fin, dans laquelle Sherman se dédouanne de toute volonté d’empêcher la copie privée en disant que ce sont les éditeurs qui décident d’utiliser les protections… Chacun son rôle, en effet : les éditeurs verrouillent, la RIAA attaque en justice.

Je ne peux que vous encourager à lire l’analyse du discours faite par Groklaw, fort pertinente comme à son habitude. Je suis également convaincu que c’est, à moyen ou à long terme, l’utilisateur qui fera comprendre aux majors que ce sont précisément de telles limitations qui inhibent l’envie d’acheter, et non l’inverse.

Mark Russinovich, le découvreur du rootkit de Sony n’imaginait probablement pas qu’il serait à l’origine d’un tel séisme médiatique. La firme Niponne, après avoir osé infliger – consciemment et secrètement – au marché une aberration monumentale en vertu de la protection des droits d’auteurs, accumule les gaffes techniques et les erreurs de communication. Le désarroi doit être extrême aux HQ en ce moment.

Derniers rebondissements dans l’affaire “Sony contre le reste du monde”…

Tout d’abord, avec tout ce tapage, ça devait arriver : des appels au boycott des produits Sony sont lancés. Certains demandent que le géant se repentisse, d’autres pensent qu’il a définitivement perdu la confiance du monde. Le boycott est la seule vraie manière qu’a celui-ci de le punir. En effet, puisque les ventes sont aux sociétés ce que les voix sont aux politiciens, à savoir le seul credo, alors c’est notre seul moyen de contre-réaction à leurs abus.

Le fait que XCP dialogue avec les serveurs de First4Internet rend son activité traçable sur le web entier, grâce à la cache des serveurs DNS. Dan Kaminsky, un chercheur en sécurité indépendant basé à Seattle, a ainsi découvert que plus de 500 000 serveurs de par le monde avaient enregistré une activité liée à XCP, ce qui signifie qu’il y a BIEN PLUS d’ordinateurs infectés, puisque les serveurs DNS desservent de nombreux internautes. On ne peut donc pas évaluer le nombre exact de postes concernés, mais il est en revanche possible d’observer la répartition géographique des cas. Kaminsky publie à cet effet un classement des pays les plus touchés, avec en tête les le Japon, les USA et l’Angleterre. La France arrive en 8ème position.

Par ailleurs, le premier désinstalleur de XCP continue de faire parler de lui : le contrôle ActiveX (un système de composants logiciels intégré à Windows) utilisé au cours du processus de désinstallation reste actif une fois l’opération terminée. Et comme il parvient à éliminer un rootkit, donc à agir directement sur les éléments vitaux de Windows (et notamment le noyau), je vous laisse imaginer la faille que ça représente… d’autant plus que les failles d’ActiveX sont déjà bien connues des pirates ! Il est donc vivement conseillé de lui préférer la version exécutable du désinstalleur, publiée quelques jours plus tard.

Enfin , la perte de confiance incite à regarder les autres activités de Sony. Ainsi, le même Alex, sur son blog, nous présente MediaMax de SunnComm. Déjà vieux de 2 ans, ce système a évolué pour devenir, lui aussi, un parasite qui s’installe sans consentement ni avertissement de l’utilisateur, ne propose aucun moyen de désinstallation, et se connecte au site de son concepteur pour y échanger des données. Et devinez quoi ? Sony l’utilise aussi ! Et si la société a retiré ses CD contenant XCP, il n’en est pas (encore ?) question pour MediaMax.

Ironiquement, on apprend aujourd’hui que Sony a perdu sa place de numéro 1 de la musique au Japon, dépassé par l’iPod et l’iTMS d’Apple. Et on imagine mal une affaire comme celle-ci les aider à inverser la tendance. Franchement, si j’étais à la tête de Sony, j’aurais envie de renvoyer sur-le-champ le responsable des activités de musique en ligne. Et son responsable de communication associé, aussi.

C’est officiel, Sony vient d’annoncer qu’il arrêtait de commercialiser des CD protégés par le très controversé système de protection de droits d’auteurs XCP (environ une vingtaine, dont un de Celine Dion), qui installe un logiciel espion prenant le contrôle du lecteur du CD de l’ordinateur et de manière suffisamment planquée pour ne pas être détectable par les outils de diagnostic standard (ce qui s’appelle un “rootkit”).

Il est très intéressant de constater comment, en moins de deux semaines, les événements se sont bousculés pour en arriver là. Aussi, je vous propose une petite rétrospective chronologique :

31 octobre : Mark Russinovitch publie sur son blog un article décrivant sa découverte et sa tentative de neutraliser l’espion.

3 novembre : la nouvelle ayant pris de l’ampleur via de nombreux blogs et sites de news, Sony décide de publier un premier patch aidant à désinstaller le système de protection.

4 novembre : on apprend que des petits malins ont déjà détourné le système pour pouvoir tricher incognito dans le jeu en ligne World Of Warcraft. F-Secure publie un bulletin explicant la faille de sécurité générée par XCP : un logiciel malveillant pourrait s’en servir pour agir sans pouvoir être détecté.

5 novembre : Mark rédige un second article dans lequel il expose les risques d’instabilité de Windows suite à l’utilisation du patch de Sony, et le fait que l’espion échange des données (probablement publicitaires) avec le site de Sony.

7 novembre : l’organisation qui gère les droits d’auteur en Italie charge la police d’investiguer sur XCP et ses méthodes pour le moins invasives, en vue d’une plainte contre Sony ; il est même question de porter l’affaire devant l’Union Européenne.

9 novembre : l’EFF met en évidence que le contrat de licence des CD incriminés est à la hauteur du procédé utilisé pour les protéger : expatriation, cambriolage, faillite personnelle sont autant de raisons vous obligeant à détruire vos copies, lesquelles ne sont autorisées que sur un et un seul ordinateur personnel. Qui plus est, vous êtes obligé d’accepter toute mise à jour ou nouveau système de protection que Sony voudrait imposer. Et cerise (pourrie) sur le gâteau : si le système utilisé vous cause des dommages (cf. 2 jours plus tard, ci-dessous), l’indemnisation sera limitée à 5 dollars !

10 novembre : Microsoft s’inquiète du mode opératoire du bidule et que les éditeurs de logiciels de sécurité sont lancés dans une course contre la sale bête. Une class-action est lancée contre Sony aux USA par des utilisateurs mécontents. Sony est également pris en flagrant délit de pillage de code sur LAME, logiciel libre d’encodage MP3 : on vole pour vous empêcher de voler.

11 novembre : Stewart Baker, représentant à la maison blanche du département de la sécurité intérieure, fait une critique sévère de XCP et lance un avertissement aux ayant-droits trop zêlés : “il est très important de garder à l’esprit qu’il s’agit certes de vos droits d’auteur, mais pas de votre ordinateur !” On apprend également qu’un premier virus (de type troyen) utilisant XCP pour se planquer et désactiver le firewall de Windows XP commence à se propager par mail.

12 novembre : Sony déclare, dans un communiqué laconique, qu’il abandonne (pour l’instant) le système de protection tant décrié. La communication et son pendant xylolingual y est éclatant. On plaindrait presque la firme, injustement attaquée alors qu’elle cherchait le bien des artistes… (violons)

Face à ce torrent médiatique qui pourrait bien se transformer en véritable tsunami, Sony décide donc d’arrêter les frais. Mais n’est-ce pas déjà trop tard ? Il suffit de parcourir quelques forums de la communauté informatique pour se rendre compte que de nombreuses personnes sont écoeurées par cette initiative malheureuse, y compris parmi les adeptes de la firme.

Il reste à espérer que cette histoire aura pu alerter les esprits contre la dérive actuelle des protections de droits d’auteur et que le débat va enfin pouvoir être réel entre les ayant-droits et les consommateurs.

Hier, je vous parlais de XCP, le rootkit installé par certains CD Audio de chez Sony. Le logiciel, chargé d’empêcher la copie des morceaux en prenant en main la façon dont se comporte le lecteur de CD de l’utilisateur, le faisait de manière totalement indécelable au moyens d’outils de diagnostic classique. Un véritable espion furtif, en somme.

Aujourd’hui, on apprend qu’une première exploitation clandestine de ce rootkit a déjà fait son apparition. Son principe ? Permettre aux petits malins de tricher à World Of Warcraft, le célébrissime RPG online de Blizzard. Le système anti-triche du jeu, baptisé “Warden”, qui est normalement très au courant de l’activité de l’ordinateur (voire même, selon certains joueurs, très indiscret), se retrouve d’un coup aveugle aux programmes installés de façon à passer sous le blouson noir de XCP… Ni vu, ni connu !

Et ça ne s’arrêtera pas là. F-Sercure, un éditeur de logiciels de sécurité, a réagi à l’apparition de la bête en soulignant que si le logiciel en lui-même n’est pas dangereux, en plus d’être “distribué” de façon très discutable moralement, le danger qu’il représentait était surtout indirect. En effet, si un logiciel tiers, réellement malveillant celui-là, vient à en exploiter les caractéristiques, alors la sécurité du système serait fortement compromise. Jugez plutôt : le moindre fichier ou dossier dont le nom commence ar “$sys$” devient totalement invisible au système… et donc aux outils antivirus !

Vous demandez-vous pourquoi on ne parle plus de plaintes “en masse” pour copie illégale de fichiers ces derniers mois en France ? Le magazine en ligne Ratatium vient de publier le résultat d’une enquête fort intéressante répondant – au moins en partie – à cette question.

Il semble bien qu’un litige oppose les 2 sociétés dont la SCPP (Société Civile des Producteurs Phonographiques) loue les services, CoPeerRight Agency et AdVestigo. Et quel type de litige ? Une sombre histoire de brevets portant sur des technologies d’identification des pirates et de pollution volontaire des flux P2P grâce à des fichiers corrompus.

Selon l’article, cette traque des vilains pirates de musique pourrait être bloquée pour plusieurs années, le temps que les différents jugements et recours se passent. Et que cette activité ne serait pas rentable, car demandant beaucoup de ressources par rapport aux résultats obtenus.

En ce moment, dans le cadre de sa publication périodique sur l’évolution du DMCA, l’US Copyrights Office est à l’écoute des idées du public à propos de quels types de médias et technologies devraient pouvoir être “crackées” de façon légitime.

La loi du DMCA, en effet, interdit tout contournement ou destruction d’un procédé protégeant un contenu soumis aux copyrights, à quelques exceptions près, notamment en cas de besoin lié à l’interopérabilité des systèmes. L’US Copyrights Office a cependant le pouvoir régalien de déclarer qu’un produit particulier a le droit d’être “dé-protégé” et en quelles circonstances. Initiative d’ouverture aux besoins des utilisateurs ou simple hypocrisie, attendons de voir ce qu’il en est.

Ce qui donne à cette petite news une saveur particulière, c’est de savoir qu’au même moment, le gouvernement français s’apprête à passer en force (i.e. avec un minimum de débat parlementaire) dans la transcription de la directive européenne EUCD qui est un DMCA-like. Pourquoi en force ? Probablement parce que l’interprétation française de ce texte est la moins permissive de toute l’union…

La nouvelle est passée plutôt inaperçue si on la compare à l’objet dont il est question, à savoir Skype. Le logiciel, déjà très célèbre pour la téléphonie (quasi-)gratuite dont il permet de bénéficier, a été victime, en début de semaine, d’un ordre d’éradication directement issu des ministères de l’éducation et de la défense, et applicable dans toute université et centre de recherche du pays. Rien de moins. La directive est extrêmement sérieuse : la note est même estampillée d’une classification “confidentiel défense” !

Des responsables d’état en ont récemment expliqué le motif : menace sérieuse vis-à-vis des réseaux informatiques. Ca ne veut pas dire que Skype soit plein de failles ou véhicule de virus, attention. Les craintes de l’état sont en effet beaucoup plus tournées vers la confidentialité des informations. En effet, la société luxembourgeoise qui édite le logiciel a beau dire que les conversations sont fortement protégées, les experts sont unanimes : il est impossible de déterminer si c’est effectivement le cas.

Skype utilise une batterie de protocoles totalement propriétaires dont on ne sait ni leur algorithme de cryptage, ni la façon dont transitent les données, ni les endroits par où elles passent… bref, rien du tout. Comment donc avoir confiance en ce logiciel pour véhiculer des données sensibles ou confidentielles ? Ajoutons que Skype a récemment été racheté par eBay, une société américaine connue pour ses courbettes particulièrement larges avec les autorités de tous les pays où elle propose ses services et on comprend parfaitement ces inquiétudes.

Problème : Skype incarne une façon de téléphoner en plein boom, et on ne peut se contenter d’en interdire l’usage. Il va falloir, pour compenser, que l’état étudie les alternatives et soutienne officiellement une ou plusieurs d’entre elles. Alors pourquoi pas Gizmo, le très prometteur projet open-source (et donc totalement transparent tout en restant sécurisé) poursuivant la même idée ?

Je viens de lire un article fort intéressant retraçant en détails ce qu’on avait appris il y a quelques jours déjà : le prochain Windows ne serait pas qu’une simple mise à jour de l’actuel XP mais bien un produit complètement nouveau et entièrement réécrit.

Si l’on en croit cette version, alors je dois avouer que je suis impressionné de voir enfin poindre à l’horizon un changement de philosophie dans cette entreprise tentaculaire mais bornée qu’est Microsoft. Jim Allchin, responsable du projet Longhorn (nom de code du fameux nouveau Windows Vista), semble avoir réussi à casser la vision de l’architecte logiciel en chef, j’ai nommé Bill Gates. Enfin ils vont pouvoir passer à autre chose que cette philosophie dépassée du système d’exploitation ultra-monolythique et figé, impossible à réellement adapter à des besoins spécifiques.

De là à dire que ça sera un très bon OS, il est encore tôt, bien sûr. Mais accordons tout de même de l’attention à ce futur système, marquant sans doute une des rares réelles ruptures qu’a osé mener la firme, même s’il s’agit d’une rupture de forme et non de fond, hélas, puisque les idées sous-jacentes au logiciel existent déjà largement chez la concurrence (principalement Mac OS et Linux). De plus, la direction très politiquement correct que prend la société vis-à-vis de la liberté d’utilisation demeure peu engageante. Mais pour tous ceux que la technologie intéresse, il faut avouer que c’est tout de suite nettement plus intéressant qu’un Windows 2000 v3 ;)