Affaire du Rootkit Sony : sur-accident logiciel

le 17/11/2005, par Marc Olanié, Actualités, 926 mots

On aurait pu croire l'histoire achevée. Pourtant, en fin de semaine passée, Kaspersky publie une alerte officielle concernant une infection nommée Backdoor.Win32.Breplibot.b, capable de tirer parti du rootkit Sony. Le malware est baptisé Stinx-E par Sophos. A ce sujet, nous ne pouvons résister au plaisir de publier en partie la prose du communiqué de cet éditeur d'anti-virus :« En dépit de ses bonnes intentions visant à limiter les copies pirates de musique, le système de protection contre les copies illicites Sony DRM ... ». Les lecteurs apprécieront cette qualification de « bonne intention » visant à injecter un code empoisonnant le système d'exploitation des clients Sony dans le but innocent de les fliquer et de prendre le contrôle des processus lancés. A toutes fins utiles, nous devons préciser à l'auteur de ces lignes que, jusqu'à présent, la copie d'une oeuvre est encore un droit appartenant au copiste, et que l'installation abusive de codes affectant l'intégrité d'un ordinateur relève du pénal. Ce genre de dialectique n'est compatible ni avec des directives de compilation correctes, ni avec les textes de loi. Il serait, à ce sujet, juridiquement et politiquement intéressant de connaître la réaction de Microsoft dans le cas, peu probable il faut l'admettre, où Mark Russinovich demanderait la fameuse « prime à la délation » offerte par Corp contre toute information aidant à découvrir l'identité d'un auteur de malware. D'autant plus que, si l'on en juge par les informations techniques publiées sur le blog d'Eugène Kaspersky, le rootkit de Sony est activement complice du virus Breplibot. Pendant ce temps, Sony tente très maladroitement de désenrayer la situation, en échangeant les disques infectés contre d'autres disques théoriquement vierges de tout nouveau virus nous informe USA Today, tentative désespérée également commentée par la BBC Online. Le lecteur avisé aura immédiatement rectifié la probable erreur de frappe commise par notre confrère britannique qui titre « Sony stops making anti-piracy CDs », qui a certainement souhaité écrire « Sony stops making piracy CD's » (ndt : Sony cesse de produire des CD de piratage). Mieux encore : en tentant de diffuser un mécanisme d'éradication du rootkit, l'outil de nettoyage « en ligne » proposé par l'éditeur crée une faille supplémentaire dans le noyau de ses clients. Cette tentative d'acharnement thérapeutique a été rapportée par le blog Freedom to Tinker. La succession de gaffes devient tellement critique que le club des amis du DRM se réunit et décide de voler au secours du piteux nippon. « Microsoft va nettoyer le gâchis de Sony » titre Wired qui relate des propos tenus par Jason Garms, group program manager of the Anti-Malware Technology Team sur le blog Technet. Le XCP de Sony est donc bel et bien vu comme un malware chez Microsoft, et non comme un « système de protection contre les copies ». Se pose également un véritable problème de sécurité nationale. Un article de Quinn Norton à propos de XCP, dans Wired, débute ainsi : More than half a million networks, including military and government sites ... . Un demi-million de réseaux -pas machines, réseaux !- infecté à l'aide d'une vingtaine de CD source. L'article repose sur les travaux d'un spécialiste sécurité, Dan Kaminsky, lequel s'est intéressé à la signature du rootkit Sony sur les tables des DNS mondiaux. Une petite représentation graphique de l'infection en Europe vaut mieux qu'un long discours. Dans le lot, tant sur le vieux continent qu'aux USA, il se trouve nécessairement des réseaux compromis appartenant à des administrations, des forces militaires, des infrastructures de police, des Ministères, des réseaux d'enseignement, des infrastructures chargées de l'énergie et des transports... ce qui inquiète, ce n'est pas tant que Sony ait « dérapé ». C'est la facilité avec laquelle un programme conçu par un sous-traitant a pu se répandre de par le monde. C'est le hasard qui a fait qu'un des CD infectés soit tombé entre les mains d'un grand spécialiste de l'analyse comportementale des noyaux Microsoft. Mais qu'en sera-t-il demain, où les mécanismes DRM nous seront garantis « intégrés » au noyau ? Qu'en sera-t-il demain, si des organisations moins scrupuleuses que Sony envisagent de recourir à des procédés analogues ? Il est très peu probable que qui que ce soit s'en rende compte rapidement. Après tout, BMG ne veut s'accaparer que le monopole de la culture musicale, et non des numéros de compte en banque, des informations relevant du secret des entreprises ou de l'Etat, des données stratégiques capables d'alimenter des réseaux mafieux etc... Dernière bourde de Sony, son absence de patience. Car, si l'on en croit nos confrères d'Eucd, les désidératas de l'éditeur seront exaucés par nos parlementaires dans un vote organisé à la sauvette la nuit du 22 au 23 décembre prochain. On retrouve, sur les pages de nos confrères, toutes les bonnes idées des majors : La proposition d'un rootkit légal visant à filtrer tous les médias sur quelque outil informatique que ce soit (média players, mais également serveurs, passerelles Internet etc), un rapport scrupuleusement calqué sur les dispositions de l'Administration Bush en matière de « protection » des éditeurs, et une « extension » technique de ces dispositions de protection touchant les radio périphériques numériques. Imaginons un instant la combinaison de ce cocktail sécurité : un outil DRM à la mode Sony, légalement protégé à l'aide de la méthode Vivendi-Universal/Web-radio numériques, pouvant être diffusé sur l'intégralité d'un réseau téléphonique d'opérateur GSM par le truchement de « sonneries téléchargées ». De quoi pirater le plus grand « network » d'utilisateur du monde. Scénario catastrophe irréaliste ? Sans aucun doute. Tout aussi irréaliste que l'hypothèse d'une « major » de l'édition musicale se transformant brutalement en pirate, en véhicule de diffusion de Troyens, en outil de camouflage de virus secondaires, ou en vecteur de pénétration au sein de réseaux d'Etat... De la science-fiction, quoi.

T-Mobile authentifie de manière forte 15000 employés via leur mobile

L'opérateur mobile T-Mobile authentifie 15 000 collaborateurs via leurs téléphones mobiles. Les employés de T-Mobile

le 05/02/2013, par Jean Pierre Blettner, 341 mots

La cybercriminalité va faire l'objet d'un énième rapport du ministère...

Le ministère de l'intérieur entend mieux piloter la lutte contre la cybercriminalité. Le ministre de l'intérieur Manu

le 30/01/2013, par Jean Pierre Blettner, 222 mots

Mega déjà mis en cause pour violation de propriété intellectuelle

Le site de stockage et de partage de fichiers Mega a supprimé du contenu violant la propriété intellectuelle le

le 30/01/2013, par Véronique Arène et IDG News Service, 832 mots

Dernier dossier

Les white-box sont-elles l'avenir de la commutation réseau ?

Et si vous pouviez gérer vos commutateurs de centres de données et vos routeurs de la même façon que vos serveurs et ainsi réduire les coûts des dépenses en capital ? C'est la promesse des white-box qui amènent des systèmes d'exploitation réseau open source fonctionnant sur du matériel courant.Pour en avoir le coeur net, nous avons testé Cumulus...

Dernier entretien

Joël Mollo

VP Europe du sud de SkyHigh

« Nous créons un nouveau marché autour de la sécurité du cloud »