D'après deux chercheurs américains, Sony BMG utiliserait pour protéger ses CD audio contre la copie un système généralement utilisé par les hackers pour pénétrer sur les ordinateurs de leur...

D'après deux chercheurs américains, Sony BMG utiliserait pour protéger ses CD audio contre la copie un système généralement utilisé par les hackers pour pénétrer sur les ordinateurs de leur victime. La nouvelle a vite fait le tour du Web, contraignant Sony à publier une réponse hâtive.

Tout part d'un billet publié par Mark Russinovich, de la firme Sysinternals, sur son blog d'entreprise. En essayant l'un de ses logiciels dédiés à la recherche de programmes malveillants, il s'est aperçu de la présence d'un "rootkit" sur sa machine de test et a cherché à savoir d'où il pouvait bien provenir.

Un rootkit est un programme qui permet d'ouvrir et de conserver une brèche dans le dispositif de sécurité d'un ordinateur afin qu'un hacker (un pirate informatique) puisse y accéder durablement. Il se place au coeur du système d'exploitation de la machine et s'arrange pour se rendre quasiment indécelable et, surtout, très difficile à désinstaller.

Quel rapport avec Sony ? En analysant le rootkit trouvé sur sa machine, Mark Russinovich s'est rendu compte qu'il portait la marque de la société Firts4Internet, éditeur, entre autres, de la solution de gestion des DRM ( Digital Rights Management ) utilisée par Sony pour protéger ses CD contre la copie. Russinovich s'est justement souvenu qu'il avait récemment fait l'acquisition d'un CD publié par le géant japonais peu de temps auparavant.

Que vient faire un dispositif utilisé par les pirates pour s'introduire de façon frauduleuse dans un ordinateur sur un CD de musique ? Ce dispositif à l'éthique plus que douteuse, baptisé XCP Technology, est en fait utilisé par Firts4Internet pour empêcher l'utilisateur de désinstaller le système de gestion des DRM de sa machine.

Le problème est que ce dispositif ouvre également un certain nombre de brèches par lesquelles un hacker est susceptible de pénétrer dans l'ordinateur. L'affaire a immédiatement provoqué un tollé aux Etats-Unis où de grands quotidiens comme le Washington Post ont relayé l'information.

La majorité des CD concernés étant vendus outre-Atlantique, Sony a dû réagir vite, d'autant plus que les outils habituellement utilisés pour se débarrasser de ces logiciels malveillants échouaient à retirer cette "dangereuse protection". La désinstallation manuelle, réservée aux utilisateurs avertis, risque en outre de rendre inopérant le lecteur CD de l'ordinateur...

La grogne monte sur les forums et certains en appellent même au boycott pur et simple. Afin de limiter les dégâts causés par cette désastreuse publicité sur son image, Sony a rapidement mis en place un utilitaire de désinstallation sur son site, accessible après avoir rempli un formulaire .

(Atelier groupe BNP Paribas - 03/11/05)