La protection antipiratage de Microsoft contournée plusieurs fois

Les dernières mesures de prévention contre les contrefacteurs édifiées par Microsoft semblent parties pour battre des records de contournement. A peine en place, des petits malins ont rapidement trouvé le moyen de se passer du Windows Genuine Advantage (WGA) qui vérifie l’authenticité de Windows XP pour effectuer leurs mises à jour (voir édition du 26 juillet 2005).

Quelques semaines avant la généralisation du WGA à tous les utilisateurs de Windows XP, un chercheur indien spécialisé dans la sécurité avait démontré l’imperfection du module d’authentification. Rappelons que WGA était en test public depuis une dizaine de mois avant son activation officielle, laissant ainsi le temps aux intéressés de trouver le moyen de le contourner. La méthode proposée sur la mailing list de sécurité de l’éditeur expliquait comment générer une clé d’activation du produit valide pour une copie illégale. Il suffisait ensuite d’exécuter le module de vérification « Genuinecheck.exe » pour, moyennant quelques manipulations, valider la clé générée de manière illégale et obtenir les précieuses mises à jour.

Encore plus simple

Une faille que Microsoft a reconnu tout en minimisant la portée sachant qu’il pourrait probablement corriger son produit pour en supprimer la vulnérabilité. C’était sans compter sur la persévérance des « pirates ». Quelques jours après le lancement de la version 1.0 de WGA, une méthode consistant à taper quelques commandes Javascript dans la barre d’adresse du navigateur Internet Explorer circulait sur la Toile mondiale. Cette astuce permettait de prévenir le téléchargement du module de vérification (un ActiveX) tout en autorisant les mises à jour et divers téléchargements à partir du Centre de téléchargement proposé par l’éditeur.

Mais c’était encore trop compliqué pour certains. Un autre stratagème a été trouvé plus récemment pour continuer à travailler sur une version pirate de Windows XP et bénéficier des mises à jour. Une méthode qui, sans rentrer dans les détails, consiste à simplement désactiver les contrôles ActiveX dans les options du navigateur de Windows. Sans aucune ligne de code ou fausse clé d’activation. Microsoft a, là encore, reconnu la réalité de ces méthodes de contournement tout en précisant que ces failles n’ont aucune incidence sur la sécurité du système d’exploitation. Seulement, on se demande à quoi servent des mois de tests pour un produit contournable en quelques jours. L’éditeur devrait corriger l’ensemble de ces imperfections dans la prochaine version du WGA… laquelle pourrait arriver plus tôt que prévue.