Sony pille le libre pour verrouiller ses CD

Sony BMG a rappelé cette semaine 4,7 millions de CD contenant son logiciel XCP, un logiciel dit anticopie qui s'installe sur votre PC lors de la lecture de celui-ci sur la machine. Ce programme de rootkit est en fait un programme qui prend la main sur tous les processus actifs de la machine.

Le programme XCP est présent sur 49 titres de Sony BMG, et s'installe automatiquement à la lecture du disque et force l'utilisateur à écouter le disque par le biais d'un lecteur multimédia spécifique. Il interdit également l'usage du lecteur à autre chose que la lecture des CD sony.

XCP a été développé par la société britannique First4Internet et utilisé pour contrôler la copie et le partage des CD musicaux de la maison de disques (DRM). Kaspersky a d'ailleur publié l'existance d'un virus nommé backdoor.win32.breplibotb, qui permet de tirer partie du rootkit Sony. Il se nomme également stinx-e chez Sophos. Ce virus de type cheval troie utilise des éléments du logiciels anticopie pour s'installer sur des PC sous Windows.

Le rootkit a infecté plus d'un demi millions de réseaux, y compris des réseaux gouvernementaux et militaires selon WIRED, un journal américain. Sony a donc décidé de publier un logiciel permettant de supprimer ce rootkit de votre PC.

Seulement cet outil crée une faille sévère supplémentaire dans le PC, qui permet à n'importe quelle page web que vous visiter d'installer et faire tourner un code qu'il veut sur votre machine. Ce qu'il y a de plus grâve comme alerte de sécurité...

Microsoft a finalement dû reconnaitre et classer cette faille comme extrêmement critique, alors que celui-ci est un fervent défenseur de la protection numérique et de la propriété intellectuelle. L'éditeur a donc décidé d'inclure une protection contre XCP, en la classant dans la catégorie des malwares.

Dernier épisode de la saga Sony, le rootkit XCP intégrerait du code source d'un projet de logiciel libre (open source), sans en respecter la licence. Rappelons que l'utilisation de tout ou partie de codes sources émanent d'une licence open source nécessite qu'il y soit fait mention, et qu'il puisse ainsi être à son tour utilisé librement par d'autres.

Ont été découverts une partie de code de FAAC (sous licence LGPL) dans l'exécutable, des fonctions qui se retrouvent dans ECDPlayerControl.ocx, ainsi que l'intégration de code du logiciel d'encodage MP3 LAME aussi sous licence LGPL.

Sony BMG est actuellement poursuivi par une action en nom collectif aux Etats-Unis (Class Actions), des consommateurs qui ont porté plainte pour ne pas avoir été informés de la vraie nature du logiciel anticopie.

Dans la nuit du 22 au 23 décembre prochains, les parlementaires français prévoient de voter une loi préparée par les majors du disque visant entre autre à rendre impossible toute résistance au DRM...

Voir le site eucd.info, dont le but est de défendre les droits d'auteurs.