| Le XCP de Sony
|
MediaMax de SunnComm
|
|
LES DISQUES INFECTÉS |
Désactivation de l'exécution automatique des lecteurs CD sous Windows
Informations pour utilisateurs de MacIntosh
Mise en garde: nous reprenons sur cette page les informations relevées sur différents sites Internet. Nous ne pouvons garantir le succès des opérations que recommandent les auteurs. Nous ne pouvons non plus assumer quelque responsabilité pour les conséquences que pourraient entraîner les manoeuvres que proposent ces auteurs.
Les problèmes soulevés par les différents logiciels inclus sur les CD musicaux par Sony-BMG amènent plusieurs observateurs à suggérer la plus grande prudence dans l'utilisation de quelque CD musical qui contiendrait un système de contrôle de copies. Si plusieurs recommandent tout simplement de ne pas insérer dans le lecteur de votre ordinateur ces disques trafiqués, d'autres recommandent, à tous le moins, la désactivation de l'exécution automatique des lecteurs CD ou DVD des ordinateurs. Vous trouverez en bas de page les instructions pour cette désactivation pour les systèmes d'exploitation Windows..
INFORMATIONS GÉNÉRALES ET TECHNIQUES
Bruno Guglielminetti, dans l'édition du Devoir du lundi 21 novembre 2005, rapporte ce qui suit:
«Un bref rappel de l'histoire : un informaticien a découvert que Sony BMG installait, à l'insu des consommateurs, un petit logiciel espion au coeur des ordinateurs pour limiter le nombre de copies qu'une personne peut réaliser à partir d'un disque compact original. Ceux qui ont désinstallé le logiciel ont obtenu un ordinateur instable et on a découvert que le logiciel de Sony BMG créait une faille de sécurité dans l'ordinateur.
Depuis vendredi dernier, Sony invite les consommateurs à retourner par la poste leur disque compact «dangereux» pour l'ordinateur. De son côté, Sony BMG s'engage à retourner aux acheteurs un CD sans système de protection et un courriel avec des liens pour télécharger une version mp3 du disque.»
Les informations qui suivent sont extraites du blog de Mark Russinovich : Mark's Sysinternals Blog, qui, sous le titre «Rootkits and Digital Rights Management Gone Too Far», offre une description technique extrêmement détaillée des activités du rootkit et des protections qui empêchent de le retirer du système.
En vue de limiter le nombre de copies qui peuvent être faites des disques qu’elle produit, la multinationale Sony produit des disques qui n’offrent, lorsque lus sur les ordinateurs, qu’une utilisation limitée. Les disques, par exemple, ne pourront être lus qu’à partir du lecteur inclus sur le CD. La dernière technologie mise à l’essai par la compagnie a été créée par une firme spécialisée dans la protection des droits informatiques, First 4 Internet Ltd et se nomme XCP (extended copy protection). En plus d’installer un lecteur spécifique pour lire le CD et un système de protection qui limite le nombre de copies qui peuvent être faites du CD (logiciel DRM, pour Digital Rights Management), le logiciel installe aussi, en secret, le système Aries.
Ce système a vite démontré de sérieux problèmes, entre autres du fait de l’utilisation de la technologie du «rootkit».
Les Rootkits sont issus d’une technologie de camouflage qui vise à cacher des fichiers, des clés de registre et autres éléments du système d’exploitation des outils de diagnostique et de sécurité. Ils sont généralement employés par des logiciels malveillants qui tentent de camoufler leur installation et leurs activités.
C’est un logiciel de ce type qu’installent les CD qui contiennent le logiciel de protection XCP de Sony; ils l'installent sur les ordinateurs dès qu’ils sont insérés dans un lecteur. Le logiciel crée un répertoire caché et installe plusieurs pilotes cachés ainsi qu’une application cachée.
Cette application, qui se remet en branle automatiquement à chaque démarrage du système (et ce, même en «safe mode»), a pour effet de rendre invisibles certains fichiers, quelle que soit leur provenance, et de permettre à ces fichiers de s’activer en secret. Ce qui implique qu’un logiciel malveillant pourrait s’installer sur un ordinateur ainsi affecté et y exercer en cachette toutes ses activités, comme le fait le logiciel de Sony, qui, à chaque deux secondes (!!!) vérifie les processus actifs de l’ordinateur sur lequel il est installé, utilisant évidemment les ressources du système.
Il est à noter que ce logiciel ne peut être désinstallé automatiquement par Windows, que le fabricant ne fournit avec le CD aucun outil pour sa désinstallation et que la désinstallation manuelle peut entraîner certains dysfonctionnements des lecteurs CD ou du système.
Sony a offert un système de désinstallation en ligne...qui causait des problèmes encore pires que le mal qu'il devait corriger (voir la section Active X). La compagnie offre maintenant le téléchargement d'un logiciel qui répare la faille de sécurité de son logiciel XCP mais laisse derrière certains fichiers douteux. (voir la section Suppression)
Les systèmes de protection présents sur les CD de Sony établissent de plus une communication par Internet et transmettent à Sony des informations sur les activités de l'utilisateur, malgré le fait que la licence d'utilisation assure que ce n'est pas le cas.
DÉTECTION
Comment savoir si votre ordinateur est infecté?
Si le rootkit de XCP est installé sur votre système, il devrait y avoir un service visible, nommé XCP CD Proxy. Ce service n’est PAS le rootkit et n’a pas à être désinstallé, mais il indique que le rootkit est bel et bien installé sur votre ordinateur. Pour voir si ce service est installé:
1. Cliquez sur Démarrer
2. Sélectionnez Exécuter
3. Dans la fenêtre, écrivez (ou copiez/collez): services.msc
4. Cliquez OK
5. La fenêtre de contrôle des services s’ouvrira et vous verrez une liste de services installés sur votre ordinateur.
Si vous voyez, au bas de la liste, un service nommé XCP CD Proxy, c’est que le rootkit est fort probablement installé aussi.
6. Vous pouvez fermer la fenêtre des services.
SUPPRESSION
(Informations tirées du site de BleepingComputer.com BleepingComputer.com > Security > Spyware Removal & Malware Self-Help and Reading Room )
Depuis que le logiciel a été reconnu comme une menace, Sony et les fabricants de logiciels antivirus ont mis à la disposition des consommateurs des outils qui visent à régler les problèmes qu’il entraîne. Il est bon de noter que l’outil proposé par Sony laisse derrière certains fichiers douteux, alors que ceux qui sont offerts par les fabricants d’antivirus retirent tous les fichiers.
Les outils automatisés peuvent malheureusement, dans certains cas, occasionner des failles dans les systèmes. Il existe une méthode manuelle qui, pour être moins conviviale, est réputée sans risque. Nous la nous reprenons ici.
Suppression manuelle (Windows XP/2003)
Suppression manuelle (Windows NT/2000)
Suppression automatique
Instruction pour la suppression manuelle du service rootkit (Windows XP/2003)
1. Cliquez sur Démarrer
2. Sélectionnez Exécuter
3. Dans la fenêtre, écrivez (ou copiez/collez): cmd /k sc delete $sys$aries
4. Cliquez OK
5. Redémarrez votre ordinateur
6. Recherchez et supprimez le fichier aries.sys (qui devrait se trouver dans le répertoire C:Windows\system32\$sys$filesystem\aries.sys)
Instruction pour la suppression manuelle du service rootkit (Windows NT/2000)
1. Puisque Windows NT ou 2000 n’incluent pas la commande SC.exe utilisée par Windows XP, il faut télécharger le logiciel nécessaire et le sauvegarder dans le répertoire de Windows (C:\Windows\). Un gratuiciel nommé SWSC est disponible ici.
1. Une fois le fichier copié dans Windows, cliquez sur Démarrer
2. Sélectionnez Exécuter
3. Dans la fenêtre, écrivez (ou copiez/collez): cmd /k sc delete $sys$aries
4. Cliquez OK
5. Redémarrez votre ordinateur
6. Recherchez et supprimez le fichier aries.sys (qui devrait se trouver dans le répertoire C:Windows\system32\$sys$filesystem\aries.sys)
SUPPRESSION AUTOMATIQUE
Si vous préférez tout de même une méthode automatisée, voici les liens vers deux outils développés par des fabricants d’antivirus (disponibles en anglais uniquement).
Symantec - Symantec recommande de lire sa page d'instruction avant d'utiliser cet outil.
Sophos
(Toutes les informations sont tirées du site de BleepingComputer.com BleepingComputer.com > Security > Spyware Removal & Malware Self-Help and Reading Room )
retour vers le haut de la page
LES DISQUES INFECTÉS
COMMENT LES IDENTIFIER
On reconnaît les CD qui contiennent le logiciel espion par la mention «Content protected» accompagnée du logo reproduit ci-contre, qui se retrouve sur la tranche du boîtier ou dans le coin supérieur gauche. Les disques peuvent aussi afficher d’autres inscriptions (Compatible with : ?cp.sonybmg.com/xcp), que l’on retrouve au verso du boîtier.
Afin de faciliter la détection des disques «infectés», nous reproduisons ici le logo qui apparaît sur la tranche du CD ainsi que l'inscription qui apparaît généralement à l'arrière du CD.
LES LISTES
Une liste des disques contenant le XCP distribués par Sony BMG Canada a été mise en ligne par Sony. On peut la trouver ici. Elle n’est malheureusement disponible qu’en anglais.
Une liste plus longue, comprenant les références des CD mis sur le marché aux États-Unis est disponible ici.
Si vous avez, par exemple, acheté un disque en ligne, il pourrait bien provenir des États-Unis et se trouver dans cette liste.
(Notez que certains titres peuvent avoir été distribués avec et sans XCP. Vérifiez la présence des étiquettes ci-dessus pour savoir si un CD est infecté.)
retour vers le haut de la page
Informations relatives au logiciel MediaMax de SunnComm
Confidentialité
Comme le XCP, les versions récentes du logiciel MediaMax ont aussi des comportements dignes des logiciels espions. Leur installation s'initie sans consentement valide et sans avertissement, ils n'offrent aucun système de désinstallation et transmettent à SunnComm des informations sur les activités de l'utilisateur, malgré le fait que la licence d'utilisation et le site de SunnComm assurent que ce n'est pas le cas.
Le logiciel s'installe même si la licence d'utilisation est refusée et, dans certains cas, le logiciel est alors activé à chaque nouveau démarrage de l'ordinateur.
Le logiciel a aussi pour effet d'interdire les copies à l'aide de iTunes à partir de Windows.
(Les informations sont tirées du site Freedom to Tinker; Sony Shipping Spyware from SunnComm, Too)
Faille de sécurité
Electronic Frontier Foundation a récemment découvert que le logiciel MediaMax créait lui aussi une faille de sécurité, qui pourrait permettre à un tiers malveillant de prendre le contrôle des fonctions de gestion de l'ordinateur opérant sous Windows. Le fabricant ayant été avisé de ce problème, un logiciel a été mis en ligne, disponible à partir du site Internet de Sony, qui devait permettre de réparer cette faille. Le lendemain (7 décembre 2005) des chercheurs identifiaient des risques liés au logiciel de réparation.
Sony propose maintenant un lien vers un nouveau logiciel de réparation. Ce logiciel n'ayant pas encore été testé par des chercheurs indépendants, la prudence est de mise.
(Les informations sont tirées du site de Electronic Frontier Foundation; SunnComm MediaMax Security Vulnerability FAQ; Update to Press Release: EFF Does Not Recommend Patch at This Time)
Détection
Pour savoir si le pilote de SunnComm est installé et activé sur votre ordinateur, effectuez les opérations suivantes.
1. Cliquez sur Démarrer
2. Sélectionnez Exécuter
3. Dans la fenêtre, écrivez (ou copiez/collez): cmd /k sc query sbcphid
4. Cliquez OK
Une fenêtre s'ouvrira qui pourra vous indiquer que le service n'est pas installé. Si le texte qui apparaît dans la fenêtre indique “STATE: 1 STOPPED”, c'est que le pilote est installé . Si le texte qui apparaît dans la fenêtre indique “STATE: 4 RUNNING”, le pilote est installé et activé.
COMMENT LES IDENTIFIER
Electronic Frontier Foundation a posté sur son site une liste de disques affectés par le logiciel MediaMax.
SunnComm a aussi posté une liste des titres Sony BMG affectés par le logiciel MediaMax
Contrairement aux disques sur lesquels on retrouve les logiciels XCP, les disques qui contiennent le logiciel MediaMax de SunnComm ne sont pas nécessairement identifiés et, quand ils les sont, ils ne sont pas tous identifiés de la même manière.
Le plus souvent, on retrouve au verso du boîtier, l'indication suivante: "? www.sunncomm.com/support/sonybmg; README.HTML", qui peut se retrouver dans les textes en petit caractère aussi bien que dans un encadré de ce type:
Certains disques affichent au recto, sur une étiquette, la présence du logiciel MediaMax. On peut aussi retrouver la mention Enhanced CD.
retour vers le haut de la page
Informations pour utilisateurs de MacIntosh
Certaines sources indiquent que certains systèmes de protection de Sony installeraient aussi, lors de l'apparition de la licence d'utilisation, des fichiers système (PhoenixNub1.kext and PhoenixNub12.kext) sur les appareils Macintosh. Si c'était le cas, souligne le facétieux auteur, «Sony serait le fier éditeur du premier logiciel espion à apparaître sur Mac en 10 ans».
Si des informations supplémentaires nous parviennent, nous les posterons ici.
(Les informations ont été relevées sur le site de The Register)
