Un virus exploite le rootkit de Sony BMG
Alors que la maison de disques a suspendu la fabrication des CD contenant XCP, un agent malveillant s’appuie sur cet outil de protection pour dissimuler des attaques.
Ce que l’on craignait risque bien d’arriver : différents éditeurs de solutions de sécurité, notamment F-Secure et Sophos, ont détecté le 10 novembre dernier un agent infectieux qui tente d’exploiter le rootkit employé par Sony BMG (voir édition du 3 novembre 2005) pour protéger les contenus d’un certain nombre de CD audio. Breplibot.C, également appelé Stinx-F ou Ryknos, est un ver qui, une fois installé sur le système de l’utilisateur, ouvre une porte dérobée (backdoor), se connecte à différents serveurs IRC et attend les ordres de ses commanditaires après avoir désactivé le pare-feu local. Il permet ainsi la prise de contrôle à distance de la machine.
L’agent en question se servirait de XCP, le rootkit de Sony, pour dissimuler son processus, ses fichiers et ses clés de registre, toujours selon F-Secure. Le ver se présenterait en pièce jointe d’un e-mail intitulé « Photo approval » – un fichier qu’il ne faut évidemment surtout pas exécuter. Cependant, le risque de propagation de l’agent malveillant reste relativement faible puisque la présence de la solution de protection numérique de Sony est nécessaire à son installation. A ce jour, on ignore combien d’utilisateurs ont installé XCP sur leur machine. Mais on peut craindre que se développent de nombreuses variantes de l’agent infectieux.
Néanmoins, Microsoft a annoncé son intention d’intégrer un outil de suppression du rootkit dans sa prochaine mise à jour de sécurité de décembre. De plus, l’éditeur de Windows prévoit d’éradiquer XCP à travers une prochaine version de son logiciel Antispyware ainsi que dans la future version baptisée Defender. Une réactivité de l’éditeur qui ne plaira certainement pas à Sony BMG.
Maintien des DRM
Après avoir proposé un outil de suppression du rootkit tout en conservant le système de gestion numérique des droits (DRM) sur le disque de l’utilisateur (avec des résultats controversés, voir édition du 8 novembre 2005), la major du disque s’est fendue d’un communiqué expliquant qu’elle suspendait temporairement la fabrication des CD contenant XCP. Selon l’Electronic Frontier Foundation (EFF), au moins 19 albums sont concernés.
Cette affaire risque de coûter cher à Sony. Une plainte collective de consommateurs américains a été déposée auprès d’une cour de Californie. Ils se plaignent notamment de ne pas avoir été informés de la présence du rootkit, ni des risques qu’ils encouraient en l’installant. Si Sony fait pour le moment profil bas, l’éditeur de musique n’a pas l’intention d’abandonner le principe des DRM pour autant : « Nous avons également l’intention de réexaminer tous les aspects de notre politique de protection des contenus afin de nous assurer qu’elle continuera à répondre à nos besoins de sécurité et à un usage facile pour le consommateur. »