Sony-BMG et son "rootkit" espion

Sony-BMG a prouvé à ses dépens que la vrai nature d’une "mesure de protection", dont le contournement est puni en France par la loi DADVSI, était un dispositif furtif capable d’espionner les ordinateurs personnels et contrôler l’utilisateur.

Déjà nominé et primé aux BBA dans d’autres pays, Sony-BMG a utilisé insidieusement ses CD vendus dans le public pour tromper le consommateur, surveiller ses habitudes d’achat et menacer l’intégrité physique des ordinateurs concernés !

Résumé des faits via un internaute averti qui résume toute l’affaire (des notes précises sont publiées dans l’article original). [1]

- Au cours de ces derniers mois, Sony-BMG a vendu plusieurs millions d’exemplaires de 52 Disques Compacts (CD) contenant la mesure technique de protection contre la copie, nommée « XCP » (qui) contiennent un programme s’installant automatiquement sans en avertir l’utilisateur et sans possibilité de désinstallation, dès que le CD est inséré dans un ordinateur équipé d’un système Microsoft.
- Rappelons à ce stade qu’un logiciel installé à l’insu de l’utilisateur est techniquement considéré comme un « cheval de Troie ». Ce cheval-ci est en outre capable de se camoufler complètement auprès du système d’exploitation et de tous les autres programmes y évoluant.
- Ainsi, l’utilisateur se trouve dans l’incapacité totale de savoir que ce logiciel est en permanence activé lorsque l’ordinateur est allumé, ou même simplement qu’il existe. (...) Une fois installé, le logiciel espion se connecte régulièrement au site internet de Sony (...) pour envoyer l’identifiant de chaque CD écouté (on imagine aisément la valeur marketing que représentent de telles informations pour un producteur de disques).
- Par ailleurs, ce programme a principalement pour fonction d’empêcher le CD d’être lu avec un autre logiciel que celui fourni par Sony et d’empêcher le CD d’être copié en plus de trois exemplaires ou converti au format « mp3 ». A ce titre, au regard du projet de loi DADVSI (...) ce système XCP est donc bien une « mesure technique » anti-copie.
- (...) Après avoir pendant quelques jours nié l’évidence, la réaction du PDG de Sony-BMG, Thomas Hesse, a été d’expliquer que « la plupart des gens ne savent pas ce qu’est un ’’rootkit’’, alors pourquoi devraient-ils s’en préoccuper ? ».
- En outre, l’outil que Sony a finalement mis à disposition des internautes pour se débarrasser de leur logiciel espion ouvrait lui-même un trou de sécurité des plus inquiétants, permettant à n’importe qui de prendre le contrôle à distance de l’ordinateur.
- Une autre raison de se préoccuper de ce type de logiciels est que le simple fait d’utiliser un outil supprimant cet espion pourrait être considéré comme un « contournement de mesure technique », et donc assimilé à un délit de contrefaçon (...).
- Le détail le plus cocasse de cette histoire est que d’autres chercheurs en informatique ont « autopsié » le logiciel XCP pour découvrir qu’il était indubitablement constitué de portions de logiciels libres couverts par la licence de distribution GNU General Public Licence (GPL). (...) Les auteurs de cette mesure technique se sont donc eux-même livrés à un acte de contrefaçon puisqu’ils n’ont pas respecté ces termes.
- (...) Bilan : la mise en œuvre technique et juridique de ce secret a des conséquences bien plus néfastes en termes de sécurité et d’atteintes à la vie privée que ne pourrait en avoir la copie privée d’œuvres musicales.

Mise à jour : En France la société Sony — procédure engagée avant la fusion avec BMG — a perdu un procès en décembre 2006 contre l’association de consommateurs UFC Que Choisir, non pas directement pour avoir compromis les PC des utilisateurs, mais pour les avoir induit en erreur en installant des modules "copy control" sur ses CD audio. [2]