Sony intègre puis retire un rootkit de ces CD audio protégés

Par Ludovic Blin, secuobs.com
Le 11/11/2005

---

Résumé : La maison de disques Sony BMG utilise pour certains de ses CD Audio protégés un logiciel furtif qui s’installe sur le PC de l’utilisateur et utilise des techniques issus des malwares pour dissimuler sa présence. - Lire l'article



La maison de disques Sony BMG utilise pour certains de ses CD Audio protégés un logiciel furtif qui s’installe sur le PC de l’utilisateur et utilise des techniques issus des malwares pour dissimuler sa présence.

Les grands détenteurs de droits numériques n’hésitent pas a utiliser des méthodes pour le moins controversées pour empêcher le piratage des œuvres dont ils sont propriétaires. L’américain Mark Russinovitch du site web SysInternals.com a ainsi révèlé l’utilisation par Sony d’un rootkit qui s’installe lors de l’écoute d’un CD protégé par un système DRM. Les chercheurs de l’éditeur finlandais F-Secure étudiaient également ce problème après avoir été alerté par un client qu’un programme suspect était installé sur son ordinateur suite à la lecture d’un CD audio.

Lorsqu’un de ces CD protégé est inséré dans le lecteur d’un ordinateur sous Windows, si l’autorun est activé, un fenêtre contenant un accord de licence est ouverte et si l’utilisateur accepte, plusieurs services et drivers sont installés. Parmi ceux-ci, le driver Aries est en fait un composant qui dispose de toute les caractéristiques d’un rootkit. Il permet de dissimuler de la liste des processus, de la base de registre ou de l’explorateur tous les fichiers qui commencent par la chaîne de caractère $sys$. Pour cela, Aries.sys modifie la table SST (System Service Table) pour « hooker » (rediriger vers une autre fonction) 5 fonctions de l’API Windows contenues dans Ntoskrnl.exe. Le code installé ne contient pas de fonctions malveillantes mais utilise des techniques inspirées des virus furtif et autres rootkit pour dissimuler son existence au yeux de l’utilisateur.

Par ailleurs, ses fonctionnalités peuvent être détournées par des intrus qui peuvent s’en servir pour dissimuler des fichiers. De plus, si une autre protection du même type vient à être installée, cela peut entrainer une instabilité du système, les « hooks » concurrents pouvant se parasiter.

Face au scandale provoqué par ces pratiques, Sony a publié une mise à jour de son logiciel (expurgé du rootkit) sur son site. Cependant on remarque qu’aucune fonction de désinstallation n’est proposée. Pour les internautes souhaitant supprimer cette « protection » de leur ordinateur, une demande spécifique doit être adressée à Sony par le biais d’un formulaire web.

Cette technologie est en fait un produit de la société britannique First4Internet. Elle est utilisée sur plusieurs titres comme par exemple les album des artistes Van Zant et Switchfoot. De nombreux internautes se sont élevés contre cette pratique, notamment sur les forums du site de commerce américain Amazon, notant très mal les disques concernés.

Par ailleurs, plusieurs clients de la maison de disque ont porté plainte, en Italie et aux USA. Un premier spécimen de virus utilisant la faille introduite par le logiciel de Sony pour se dissimuler a également été détecté.

lien
lien
lien

Le formulaire pour pouvoir demander la désinstallation du logiciel : lien

La mise à jour : lien

L’analyse de sysinternals.com : lien

Celle de F-Secure : lien