Du code de VLC dans le rootkit de Sony

Posté par  (site web personnel) . Modéré par Jaimé Ragnagna.
4
18
nov.
2005
Pirate
Vous avez probablement entendu parler du fameux rootkit de Sony BMG qui s'installe dans votre dos si vous essayez de lire un CD protégé par le système XCP sous Windows.

Après la mise en évidence d'une utilisation de Lame dans des conditions non conformes à sa licence (LGPL), voici que deux hackers, Sebastian Porst et Matti Nikki, ont identifié avec l'aide de Sabre Security des morceaux de code GPL dans le rootkit de Sony ! Ce code serait extrait de demux/mp4/drms.c, écrit par 'DVD' Jon Lech Johansen et notre Sam Hocevar national, et implémente un protocole de chiffrement propriétaire d'Apple.

Au passage, on ne manquera pas d'aller lire la page d'excuses de Sony BMG qui botte en touche.

NdM : ceux d'entre vous qui n'auraient pas encore entendu parler de ce "fameux rootkit" pourront trouver un résumé détaillé des épisodes précédents sur le blog de Tristan Nitot.

Aller plus loin

  • # Merci!

    Posté par  . Évalué à 10.

    Merci à Sony d'avoir fait une telle bévue pour révéler au grand jour le danger des directives visant à donner trop de pouvoir aux "propriétaires" de la musique.

    Comme cas concret que l'on peut discuter pour argumenter contre, on ne pouvait pas rêver mieux.

    Enfin, ce n'est qu'une bataille.

    Je trolle dès quand ça parle business, sécurité et sciences sociales

    • [^] # Re: Merci!

      Posté par  (site web personnel) . Évalué à 10.

      mouais !
      sauf que quand tu tentes d'expliquer à une personne « normale » les dangers des DRM, des limitations ...
      la réponse est au choix :
      [ ] - Bah m'en fout, j'ai un copain qui sais comment pirater ça !
      [ ] - Mais oui, tu vois le mal partout, t'es chiant avec ton linux !
      [ ] - J'y comprend rien, il vont pas nous mettre des puces sous la peau, alors arretes de nous bassiner !

      Dès que les problèmes de vie privé touche l'informatique, tout le monde décroche, trop compliqué, moi je fais du Wordz !, ... donc c'est surtout un problème de communication que nous avons avant tout !

      Mais bon, des fois j'arrive à passer pour un mec « normal » ;)
      • [^] # Re: Merci!

        Posté par  (site web personnel) . Évalué à 10.

        donc c'est surtout un problème de communication que nous avons avant tout!

        Ou alors, voire surtout, un problème de public intéressé par le débat : bah, tant que je ne suis pas personnellement touché, où est le problème?
        Et en informatique, c'est parfois pire qu'ailleurs : beaucoup de choses paraissent normales (et du coup acceptées) du fait d'une certaine ignorance.
        • [^] # Re: Merci!

          Posté par  . Évalué à 4.

          Ou alors, voire surtout, un problème de public intéressé par le débat : bah, tant que je ne suis pas personnellement touché, où est le problème?

          bah t'es pas tout seul sur terre. Si t'as envie de faire changer les choses en large et en traver, t'as interet à savoir solliciter du monde parce que tout seul t'arrivera à rien.

          Ton argumentation me fait penser à des utilisateurs qui n'arrete pas de dire "je n'ai rien à cacher, où est le problème? pourquoi installer un firewall/antivirus/?". Si t'arrive à répondre à cette question, tu pourra répondre à la tienne.
      • [^] # Re: Merci!

        Posté par  . Évalué à 6.

        Dès que les problèmes de vie privé touche l'informatique, tout le monde décroche, trop compliqué, moi je fais du Wordz !, ... donc c'est surtout un problème de communication que nous avons avant tout !

        Justement non. Dans ce cas c'est du concret. Ce n'est plus un débat d'idées pour savoir si c'est bien ou mal. Fini les avec les DRM untel pourrait faire ceci ou pourrait faire cela, Sony l'a fait et va devoir rendre des comptes durant un probable procès et en payer les conséquences.

        Je trolle dès quand ça parle business, sécurité et sciences sociales

        • [^] # Re: Merci!

          Posté par  (site web personnel) . Évalué à 10.

          tu preches les convertis ici ... prend un membre de ta famille qui ne connais que Wordz et le truc Bleu pour aller sur le net ... et explique lui !

          Si tu y arrives, tu me donnes la méthode, stp :)
        • [^] # Re: Merci!

          Posté par  (site web personnel) . Évalué à 10.

          > [snip] Sony l'a fait [snip]
          Je pensais pas en avoir rêvé pourtant...
          • [^] # Re: Merci!

            Posté par  (site web personnel) . Évalué à 9.

            Pff, faut se tenir a la page, de nos jours le slogan de SONY c'est "SONY : Like no other™"
            Traduit très justement par "SONY, Incomparable"...
            • [^] # Re: Merci!

              Posté par  . Évalué à 10.

              Ouais, et dans incomparable, il y a imparable...
              • [^] # Re: Merci!

                Posté par  (site web personnel) . Évalué à 6.

                Moi je vois plus ça comme : "un con parable" et ça me redonne espoir...
              • [^] # Re: Merci!

                Posté par  . Évalué à 0.

                Dans incomparable, il n'y a pas que imparable ....

                OK ....c'est par là ....->[]
    • [^] # Re: Merci!

      Posté par  (site web personnel) . Évalué à 9.

      Le point positif, s'il faut en voir un dans cette affaire est peut-être ailleurs.

      Les grosse entités comme Sony ou d'autres ne peuvent pas contrôler intégralement le développement d'une application. La stabilité et la "propreté" d'un code par exemple repose sur la confiance qu'à le gros groupe en ses développeurs ou des sociétés satellites.

      Le côté positif dans l'affaire du DRM Sony n'est pas le fait que le grand public prendra conscience ou non de ce qui se passe. Je pense que la voie naturelle pour garantir la qualité d'un code est sa diffusion et son ouverture. Peut-être (cela frise l'utopie) que les grandes entités comme Sony se rendront compte qu'il est risqué de faire confiance aveuglément à des sociétés annexes où même à ses propres développeurs. Peut-être finiront-ils par comprendre que l'ouverture des sources avec des licences adaptées représente la meilleurs solution d'audit possible.

      Ce qui se passe ici, n'est rien d'autres que les conséquence d'une sécurité par obscurantisme. Je ne pense pas le Sony ait délibérément validé la présence de ce rootkit. C'est plutôt la décision d'un département ou d'une section spécifique au sein de la firme. Bien entendu, je ne parle pas ici de responsabilité mais de culpabilité. Sony reste responsable de ce qui arrive.
      • [^] # Re: Merci!

        Posté par  . Évalué à 10.

        Les grosse entités comme Sony ou d'autres ne peuvent pas contrôler intégralement le développement d'une application. La stabilité et la "propreté" d'un code par exemple repose sur la confiance qu'à le gros groupe en ses développeurs ou des sociétés satellites.
        Et d'un autre coté les pauvres developpeurs qui constatent que sa boite et ses dirigeants le font travailler sur peu 'propre' (au niveau licence voir meme au niveau technique), que peuvent-ils faire ?
        Pas grand chose si ses responsables s'en fichent. Si ils peuvent demissioner, mais faut-il qu'ils trouvent un autre boulot...
        En plus je sais pas qui est le responsable en cas de decouverte de violation d'une licence, mais certaines sociétés seraient capable de faire retomber la responsabilité sur les developpeurs...
      • [^] # Re: Merci!

        Posté par  . Évalué à 0.

        "responsable mais pas coupable"... où ai-je déjà entendu ça...

        ah oui, l'affaire du sang contaminé !

        http://fr.wikipedia.org/wiki/Affaire_du_sang_contamin%C3%A9
  • # Rkdk ?

    Posté par  . Évalué à 10.

    Si ils ont modifié et diffusé du gpl pour leur rootkit, ils vont devoir diffuser les sources non ?

    Je l'imagine déja d'ici peu : RootKit Developpement Kit en GPL
    Ca sonne bien non ?

    Bon, j'ai compris, je sors. --->[]
    • [^] # Re: Rkdk ?

      Posté par  (site web personnel) . Évalué à 8.

      Ça serait un excellent outil pédagogique. Étudier le code source d'un rootkit (ou d'un ver, ou d'un virus) permet d'apprendre plein de choses passionnantes sur le fonctionnement du système, et de façon très ludique.
      • [^] # Re: Rkdk ?

        Posté par  (site web personnel, Mastodon) . Évalué à 10.

        Et là si MISC pouvait trouver un bon pédagogue pour en plus publier un article dessus, en le décortiquant comme ils l'ont déjà fait pour des vers, troyens et autres virus, ca serait le pied. D'ailleurs cela ne serait pas illégal de le désassembler _je pense_ vu qu'il contient du code GPL.

        Et oui, ceci est un appel du pied justement à messieurs D.Bodor et F.Raynal ;-). Ils ne sont jamais très loin, faites connaitre votre opinion sur cette demande !
        • [^] # Re: Rkdk ?

          Posté par  . Évalué à 5.

          Le fait qu'il contienne du code GPL rends ta license sur leur rootkit bancale et invalide le contrat entre toi et sony, ça veut dire qu'il n'y as plus de contrat entre les deux, pas que tu peux faire ce que tu veux.
        • [^] # Re: Rkdk ?

          Posté par  (site web personnel) . Évalué à 5.

          cela ne serait pas illégal de le désassembler _je pense_

          De mémoire (reste de mes cours de droit de l'informatique), le désassemblage d'un binaire "commercial" est légal à fin d'interopérabilité, à condition d'avoir une licence pour ce logiciel.

          Acheter une licence d'un rootkit, on aura tout vu ... Et le désassembler pour ? pour faire un portage sous Linux (=> interopérabilité) bien sûr !

          Dans l'affaire Guillermito, le chercheur en sécurité a finalement été jugé pour avoir désassembler un programme dont il n'avait pas la licence ... (enfin je connais pas les détails)
          http://www.frsirt.com/actualite/08312004.Guillermito.php

          ---

          Ce que dit la loi française :
          http://www.legifrance.gouv.fr/WAspad/VisuArticleCode?commun=(...)

          Article L122-6-1 du CODE DE LA PROPRIETE INTELLECTUELLE.

          Haypo
          • [^] # Re: Rkdk ?

            Posté par  . Évalué à -9.

            Juridiquement, je m'interroge.

            En effet sauf erreur de ma part, la GPL contient un aspect "viral". Ce qui d'ailleurs embête bien certains juristes de grosses entreprises.

            Or Sony/BMG, ou plutôt son sous traitant en commettant l'erreur d'implémenter du code libre dans son rootkit qui modifie le code de Windows ou qui vient s'executer dans le coeur de Windows, ne pourrions nous pas alors demander devant les tribunaux l'ouverture du code de Windows qui de facto passerait sous licence GPL ?

            C'est peut être idiot sur un plan technique. Mais je m'interroge. Dans l'absolu n'ai je pas raison?

            Quant à la validité de la licence GPL, même non traduite n'a jamais été contestée. Elle est utilisée depuis longtemps en France. Cet usage de longue date la rend à mes yeux juridiquempent valable et incontournable.

            J'ai quand même l'impression que l'on pourrait mettre le plus beau bazar juridique hi tech du monde....
            • [^] # Re: Rkdk ?

              Posté par  . Évalué à 7.

              Or Sony/BMG, ou plutôt son sous traitant en commettant l'erreur d'implémenter du code libre dans son rootkit qui modifie le code de Windows ou qui vient s'executer dans le coeur de Windows, ne pourrions nous pas alors demander devant les tribunaux l'ouverture du code de Windows qui de facto passerait sous licence GPL ?

              Je n'y vois aucune raison. Ils doivent juste rendre accessible le code source du rootkit à ceux qui l'ont acheté. C'est pas parceque ce rootkit a une influence sur Windows qu'ils doivent publier le code de windows. Que je sache ils n'ont pas recompilé tout windows en y incluant le rootkit. Ce sont deux programmes séparés.

              Elle est utilisée depuis longtemps en France. Cet usage de longue date la rend à mes yeux juridiquempent valable et incontournable.

              Qu'elle soit utilisé depuis longtemps ne la rend pas juridiquement valable. Y'a des conneries qui sont dites depuis des siècles, cela n'en fait pas des vérités. Ceci dit dans certain pays (Allemagne) elle a déjà été reconnue valable par certains tribunaux.
              • [^] # Re: Rkdk ?

                Posté par  . Évalué à 8.

                Pour en rajouter une couche, Sony n'a aucun copyright sur le code de windows.
                Microsoft n'a aucune responsabilité sur le rootkit.

                Donc ça n'a aucune influence sur la licence du code de windows.
            • [^] # Re: Rkdk ?

              Posté par  . Évalué à 6.

              J'ai quand même l'impression que l'on pourrait mettre le plus beau bazar juridique hi tech du monde....

              Ben non! même pas! Pour faire simple, la licence impose des conditions en cas d'acceptation de l'accord de licence. Dans le cas du rootkit qui réutilise du code GPL, la licence n'a pas été acceptée (que je sache). Il y a violation de l'accord de licence.

              Il y a donc 2 solutions possibles pour ce rootkit :
              - il cesse d'être distribué (probable)
              - son distributeur se conforme aux dispositions de GNU GPL (peu probable)
  • # Cette affaire est un scandale.

    Posté par  . Évalué à 10.

    Sony,

    Quand ils osent dire qu'il sont par ailleurs pour des standards ouverts....

    On croit vraiment rêver

    http://www.openinventionnetwork.com/
    • [^] # Re: Cette affaire est un scandale.

      Posté par  . Évalué à 8.

      On croit vraiment rêver

      Vous en avez rêvé ; Sony l'a fait.
    • [^] # Re: Cette affaire est un scandale.

      Posté par  . Évalué à 8.

      Offir avec chaque CD un encodeur MP3 et un outil pour outrepasser les protections DRM, je trouve que c'est justement aller très loin dans le militantisme pour les standards ouverts !
    • [^] # Re: Cette affaire est un scandale.

      Posté par  (site web personnel) . Évalué à 7.

      z'utilisent linux avec leur ps3.
      • [^] # Re: Cette affaire est un scandale.

        Posté par  (site web personnel) . Évalué à 3.

        z'utilisent VLC pour leur rootkit...

        Mouais, ils vont distribuer la source de leur linux modifie ? (toujours le même problème : l'application est-elle "distribuée" ou simplement executee en "local" (cf Freebox).

        (Une action va-t-elle être effectuée, pas forcémeent en justice, mais à l'amiable, pour voir leur réaction ?)
        • [^] # Re: Cette affaire est un scandale.

          Posté par  . Évalué à 7.

          Nan nan, ya un truc que t'as pas du bien comprendre ...

          Là, le cd, tu l'achètes, il est à toi et par extension, le rootkit aussi.

          La freebox, tu l'achète pas, free te la prête et elle fait partie de l'infrastructure de free et c'est justement pour ça que free fournit pas les sources de la freebox.
          • [^] # Re: Cette affaire est un scandale.

            Posté par  . Évalué à 4.

            La freebox, tu l'achète pas, free te la prête et elle fait partie de l'infrastructure de free et c'est justement pour ça que free fournit pas les sources de la freebox.
            Quid des autres box (aol, FT, clubinternet, alice, ...) ?
            Certaines sont vendues, non ?
            Il me semble que la plupart tourne sous linux...
            • [^] # Re: Cette affaire est un scandale.

              Posté par  . Évalué à 10.

              Je confirme pour Alice, j'ai reçus avec mon modem un joli papier plastifié contenant la GPL.
              extrait du sus-dit papier :

              "Le firmware du produit est libre: vous pouvez le redistribuer et/ou le modifier selon les termes de la Licence Publique Générale GNU telle que publiée par la FSF ...

              Ce firmware du produit est distribué dans 'espoir qu'il sera utile ...

              ..... Tous les droits d'auteur sont identifiés plus en détail dans le code source du firmware qui peut etre demandé à TISCALI ACCES ... et qui peut également etre téléchargé à partir de http://support.aliceadsl.fr/assistance ."

              Moi j'plussoi Alice :)

              NB: je n'ai pas encore trouvé le firmware.
          • [^] # Re: Cette affaire est un scandale.

            Posté par  . Évalué à 4.

            Bonjour,

            Juste pour préciser : le média t'appartiens certes, mais certainement pas la musique qui se trouve dessus. Tu achetes un droit d'usage et pas un droit de propriété. Il en va de même pour le rootkit (mais peut-on parler de "droit" d'usage dans ce ca préçis ?).

            Cf la loi francaise sur les droits d'auteur.
  • # Sur le site de Sony...

    Posté par  (site web personnel) . Évalué à 10.

    To Our Valued Customers:


    Tu m'étonnes, avec l'argent qu'ils vont perdre, effectivement ils ont de la valeur les consomateurs...

    Mais dans le cas général, c'est juste des moutons dont on dispose...
    • [^] # Re: Sur le site de Sony...

      Posté par  . Évalué à 8.

      Mais dans le cas général, c'est juste des moutons dont on dispose...

      je comprends pas, pourquoi un mec qui achete un cd sans pouvoir savoir qu'il ya un rootkit dessus est un mouton?
      • [^] # Re: Sur le site de Sony...

        Posté par  . Évalué à -1.

        Il a acheté un CD, sapucépalib'
      • [^] # Re: Sur le site de Sony...

        Posté par  (site web personnel) . Évalué à 7.

        Je voulais dire "dont on dispose comme des moutons", et non pas que ce sont vraiment des moutons.


        Désolé de m'être mal exprimé.
      • [^] # Re: Sur le site de Sony...

        Posté par  . Évalué à 8.

        Je suppsoe que c'est rapport aux propos d'un dirigeant d'une grande chaîne française et son opinion sur le temps de cerveau disponible pour les annonceurs. Ces types (pas de raison que chez Sony ils soient différents que celui-là) ont un profond mépris pour les consommateurs.
    • [^] # Re: Sur le site de Sony...

      Posté par  . Évalué à 7.

      juste histoire de, "customer" veut dire client, pas consommateur.



      c'est vrai qu'ils ont nettement tendance à confondre.
      • [^] # Re: Sur le site de Sony...

        Posté par  . Évalué à 4.

        C'est parce que dans consommateur, il y a sommateur. Pas dans client.

        (En clair : « le client est roi », « le con-sommateur »...)
  • # l'hôpital qui se fout de la charité

    Posté par  . Évalué à 9.

    va y a voir des suites judiciaires ?
    • [^] # Re: l'hôpital qui se fout de la charité

      Posté par  . Évalué à 7.

      rien n'est moins sûr... on ne peut pas dire que la communauté du logiciel libre soit une bête de combat quand il s'agit de se défendre en justice... quand on voir des cas comme Maui X-Streams où le droit d'auteur est clairement foulé au pied sans que des mesures soient prises...
  • # Bil avait raison!

    Posté par  . Évalué à 10.

    C'est bien la preuve que le code GPL est une faille de sécurité en soi, regardez le résultat: un bout de code GPL et le code devient un véritable rootkit!
    • [^] # Re: Bil avait raison!

      Posté par  . Évalué à -1.


      C'est bien la preuve que le code GPL est une faille de sécurité en soi, regardez le résultat: un bout de code GPL et le code devient un véritable rootkit


      heu je crois pas que ce soient les éléments GPL - demux/mp4/drms.c, - qui permettent l'act de piratage, le code libre utilisé içi n'a rien à voir dans le processus même de rootkit.

      Je pense plutôt que c'est la seconde ricoche de la pierre, en effet, les hackers mettent à nue l'existence de ce rootkit mais en *bonus* ils découvrent que Sony utilise du code GPL en ne respectant pas les termes de celle-ci et l'injecte dans son rootkit malicieux.

      Qu'on s'comprenne bien, il y a le rootkit malicieux et des bouts de code GPL *volé*
      Donc la GPL n'a rien d'une faille de sécurité en soit.

      Bref, double faute pour Sony.
      • [^] # Re: Bil avait raison!

        Posté par  . Évalué à 8.

        Tu manques d'humour.... c'était en réponse à tous les FUD du genre get the fact, ouvrir son code est pas sécure, etc....
        • [^] # Re: Bil avait raison!

          Posté par  . Évalué à 3.

          C'n'est pas que j'manque d'humour, mais j'n'avais pas lu ça comme une boutade lancé aux détracteurs.
          Ça ne m'avait pas semblé ironique sur le moment en fait.

          D'habitude je lis plus ou bien entre les lignes mais là j'n'ai pas percuté.
          - Qu'est-c'quii m'arrifff? :)

          Néanmoins merci de m'avoir mis dans la *confidence* héhé
          • [^] # Re: Bil avait raison!

            Posté par  . Évalué à 4.

            arf, j'n'avais pas lu le titre Bil avait raison!
            pfff

            j'ai honte, pour la peine, je prend la fenêtre --> [][]
      • [^] # Re: Bil avait raison!

        Posté par  . Évalué à -5.

        Qu'on moinsse mes deux derniers messages, je veux bien comprendre, mais qu'on censure le premier qui avait au moins le mérite de clarifier un peu la situation, i don't d'accord.
        Car même si le poste originel avait un ton ironique, il entretenait une certaine ambigüité.

        Enfin bref désolé de ne pas avoir le même humour Geek que vous :p

        C'est ma faute aussi, j'n'ai pas le même standing que les esthètes de linuxfr qui viennent içi puis d'10piges.
    • [^] # Re: Bil avait raison!

      Posté par  (site web personnel) . Évalué à 4.

      Fait gaffe, ça pourrait être pris au sérieux!
  • # Euh...

    Posté par  (site web personnel) . Évalué à 10.

    "[...] d'une utilisation de Lame [...] Ce code serait extrait de demux/mp4/drms.c, écrit par 'DVD' Jon Lech Johansen et notre Sam Hocevar national"

    C'est une blague ?

    Ce sont leurs DRMs et au lieu d'utiliser leur propre logiciel de décryptage, ils utilisent le truc obtenu par reverse engineering O.o

    ... ou c'est moi qui n'ai rien compris ? :P
    • [^] # Re: Euh...

      Posté par  (site web personnel) . Évalué à 8.

      Peut-être parce que le code est plus stable (et plus performant) et respecte (ou implémente) mieux les spécifications que ce que leur ont pondu leurs sous-traitants...

      ...eh oui c'est ça aussi le logiciel libre...

      (hinhinhin)
      • [^] # Re: Euh...

        Posté par  . Évalué à 5.

        Mais si la loi EUCD passe, ce bout de code sera parfaitement illégal...
        • [^] # Re: Euh...

          Posté par  . Évalué à 5.

          l'eucd EST passee.
          ya plus qu'a transposer.
          • [^] # Re: Euh...

            Posté par  . Évalué à 6.

            Euh oui, la directive européenne est « passée ». C'est pas vraiment comme si elle avait besoin de passer, puisqu'il en a été question en France qu'après son passage. Or dans une démocratie, les représentants des citoyens sont tenir un programme choisi par les citoyens qui a justifié leur élection.

            Mais la transposition de cette directive elle n'est pas encore passée devant le Parlement.

            (C'est marrant tout de même, cette majorité au pouvoir qui vante les mérite de la décentralisation tout les matins mais qui est si prompte à favoriser la prise de décision à un niveau international)
          • [^] # Re: Euh...

            Posté par  . Évalué à 4.

            D'après EUCD.INFO nous n'avons pas à faire à une simple transposition. Le projet semble aller beaucoup plus loin que ça.
            Il est partiellement faux de déclarer que l'EUCD est passé. Les transpositions laissent la porte ouverte à beaucoup d'interprétations (d'ailleurs sinon il ne serait même pas nécessaire de transposer).
        • [^] # Re: Euh...

          Posté par  . Évalué à 3.

          Et c'est sony (ou ses sous-traitants) qui serait alors aussi dans l'illégalité, non ?
  • # Euh Sony-BMG, c'est pas Sony!

    Posté par  . Évalué à 10.

    [discaimer]:je ne parle que en mon nom propre, pas en celui de mon employeur.[fin]

    Juste pour dire que Sony BMG n'est pas Sony.
    SonyBMG est une société indépendante, dont Sony possède 50% (et BMG les autres 50%)
    Copié/Collé du site de Sony BMG:
    "Shareholders:
    SONY (50%) Bertelsmann AG (50%)"

    C'est comme Sony-Ericsson. Un peu comme Citroën pour PSA.

    Sony, la boîte d'électronique d'origine japonaise utilise Linux dans ses produits, respecte les licenses GPL et LGPL et donne les infos nécéssaires:
    http://products.sel.sony.com/opensource/

    Sony fait partie des investisseurs du réseau "open invention network" qui achète des brevets pour les offrir sans Royalties à Linux et aux systèmes libres:
    http://www.openinventionnetwork.com/

    Voilà, je suis pas objectif dans cette affaire, mais je me dit que BMG s'en tire bien, alors que le seul CD qui m'ait jamais posé problème venait de chez eux !
    • [^] # Re: Euh Sony-BMG, c'est pas Sony!

      Posté par  (site web personnel) . Évalué à 4.

      Voilà, je suis pas objectif dans cette affaire, mais je me dit que BMG s'en tire bien, alors que le seul CD qui m'ait jamais posé problème venait de chez eux !

      Tiens oui, le CD protègé qui m'a le plus cassé les bonbons jusqu'ici c'est "Scorpio Rising" de Death In Vegas et effectivement je me demande si ce n'est pas du BMG. Mais bon, EMI aussi est relou en foutant du Copy Control sur tous ses disques...
    • [^] # Re: Euh Sony-BMG, c'est pas Sony! [HS]

      Posté par  . Évalué à 9.

      Un peu comme Citroën pour PSA.
      Ta comparaison avec Sony-Ericsson est correcte mais pas celle avec Citroen/PSA. En effet, Citroen est une marque du groupe "PSA Peugeot Citroen" (au même titre que Peugeot), il n'y a pas (plus) de société Citroen.
    • [^] # Re: Euh Sony-BMG, c'est pas Sony!

      Posté par  . Évalué à 7.

      Quand y en a 2 comme ca, on en cite souvent qu'un seul par facilité.
      pour moi c'est
      - sony-ericsson : plutot ericsson (plus connu des 2 dans le domaine concerné)
      - sony-bmg : plutot sony (plus connu ? plus prononcable ? autre ?)
      - gnu/linux : plutot linux (un peu pareil...) (pas taper)

      T'as bien fait de rectifier, mais là effectivement, c'est plutot sony qui trinque...
    • [^] # [OT] Re: Euh Sony-BMG, c'est pas Sony!

      Posté par  . Évalué à 3.


      Sony, la boîte d'électronique d'origine japonaise utilise Linux dans ses produits, respecte les licenses GPL et LGPL et donne les infos nécéssaires:
      http://products.sel.sony.com/opensource/


      [Off-Topic]
      Et c'est là que tu te rend compte que les modèles de télé proposés en Europe et aux États-Unis sont vieux de 2-3. Quand ils sortent ... Marrant. :-)
      [/Off-Topic]
  • # Ce qu'aiment les gens sur LinuxFr (sondage déguisé)

    Posté par  . Évalué à 10.

    Attention, ce journal contenait un sondage déguisé ! En effet, quand on lit le nombre de hits de chacun des liens, on obtient le classement suivant (18/11 à 16:57) :

    1. Les excuses de Sony (1699 hits)
    2. Les bouts de code de VLC (688 hits)
    3. Sam Hocevar (327 hits)
    4. Jon Lech Johansen (236 hits)
    5. L'annonce sur Slashdot (325 hits)
    6. Les bouts de code de Lame (322 hits)

    En gros, les Linuxfr-iens aiment bien les excuses de Sony. Loin derrière (mais quand même en deuxième position), vient les bouts de code de VLC. Puis, dans le dernier groupe (et dans un mouchoir de poche), les sites des personnes et les nouvelles.

    Au début, je me suis dit que tout le monde connaissait l'histoire et il n'y avait plus besoin d'aller la lire sur /. (où elle avait probablement déjà été lue avant d'arriver ici). Mais à près de 6 fois plus de hits pour les excuses de Sony, il y a du "yék, yék, un Goliath se plante face au libre ..." ;-)

    Enfin, c'était la minute "sociologique" à 2 centimes.
    P.S. : je me demande si d'autres journaux n'ont pas caché de sondages à l'insu du plein gré du lecteur ...
  • # Sony BMG coupable?

    Posté par  . Évalué à -3.

    Sony BMG est une maison de disque. Soit des marketeux et des professeurs star académiciens. Donc des gens qui n'ont même pas d'oreille (ou qui n'ont non plus à cause de Lara Fabian). Un comble puisque que c'est le coeur de leurs métiers. Tous ces gens ont donc une connaissance nulle de l'informatique. Ils savent (croient mais c'est pareil) juste qu'il y a des vilains pirates qui plombent leurs rentabilités. Big Boss désemparé, ce demande que faire! Et voilà qu'il fait la connaissance fortuite d'une société de protection musicale. Soulagé Big Boss signe sur le champ un contrat. Or ce qu'ignore le bougre, c'est que cette société est dirigé par des escrocs qui boutent le feux par derrière, et non aucun sérieux dans leurs activités. C'est comme les marchands de canons, il faut bien des guerres ...

    Alors coupable, ou coupable de naïveté? Soit coupable quand même!
    • [^] # Re: Sony BMG coupable?

      Posté par  . Évalué à 8.

      Tu m'as l'air rudement bien informe pour avoir un avis aussi arrete.

      A moins que tu ne connaisse strictement rien de SonyBMG et que tu extrapoles sur le simple fait que c'est une grosse boite et que donc (forcement!!!) ce sont des abrutis incompetents notoires pas foutus de voir plus loin que la paille dans leur nez (bah vi, la cc dans ce milieu, c'est courant!!)?

      Juste une question comme ca.
      • [^] # Re: Sony BMG coupable?

        Posté par  . Évalué à 2.

        Non je présume. Dans bien des cas, les gens veulent des solutions. Après comment ça marche ils s'en foutent! Combien de gens font une étude sur les produits qu'ils achètent? Ces probablement aussi le cas avec Sony BMG, ils ont signé les yeux fermés un contrat avec des gens douteux. Tant pis pour eux!

        On peut aussi se demander si la société britannique First4Internet ne bénéficie pas d'un accès au "code source de Windows". Pour développer un RootKit ça peut être utile ...
  • # slogan XCP

    Posté par  . Évalué à 5.

    Personne n'a remarqué le slogan de XCP ?
    -> "The true meaning of audio security"
    Et bien maintenant, on sait ce que c'est...

    http://www.first4internet.co.uk/
    http://www.xcp-aurora.com/
  • # Mais comment il s'installe ?

    Posté par  (site web personnel) . Évalué à 0.

    Je me demande comment le rootkit peut s'installer ...
    Je suppose que c'est avec Windows ... pour lander un logiciel, je suppose que le CD doit avoir un autorun, et je suppose que la touche shift désactive l'autorun (très pratique je trouve, on attend environ 8 secondes et plus rien).
    Donc l'autorun désactivé, comment le CD peut il installer un logiciel ?

    Mais c'est vrai que shift a chaque fois qu'on veut écouter de la musique, pas très pratique. Ou alors désactiver durablement l'autorun.
    • [^] # Re: Mais comment il s'installe ?

      Posté par  . Évalué à 7.

      Tu crois vraiment que les gens pensent à désactiver l'autorun juste pour insérer un CD audio ? Moi je ne l'aurais jamais fait et après une fois le mal est fait. Le rootkit est là.
    • [^] # Re: Mais comment il s'installe ?

      Posté par  . Évalué à 3.

      La musique est illisible par des moyens normaux, pour la lire il faut le logiciel/rootkit.
      • [^] # Re: Mais comment il s'installe ?

        Posté par  . Évalué à 3.

        Et ta chaîne hifi, elle installe le rootkit ?

        La musique est tout à fait lisible par ton PC, c'est le rootkit, une fois installé, qui empêche la lecture.
        • [^] # Re: Mais comment il s'installe ?

          Posté par  . Évalué à 6.

          La musique est tout à fait lisible par ton PC
          Non seul les chaîne hifi bas de gamme lisent les cd défectueux!!!
  • # Outil de désinstallation troué :-D

    Posté par  (site web personnel) . Évalué à 0.

    Attention, le programme de désinstallation Sony-BMG du rootkit Sony-BMG contient une grosse faille de sécurité (notée "Risque : Critique" par frsirt) ... mouhahahahahaha.

    http://www.freedom-to-tinker.com/?p=931
    http://www.frsirt.com/bulletins/2750

    Haypo qui rigole bien en écoutant la radio sur se chaîne-hifi (*), tout en tapotant sur son PC sous Linux

    (*) J'ai une chaîne Sony (hu hu) que j'ai acheté quand j'étais au collège, elle a donc ... hou là ... dix ans peut-être ? C'était la première a être équipée de mini-disc je crois bien. Le lecteur de MD est mort, et certains CDR ne passent pas. Mais dix ans, c'est quand même pas mal pour une chaîne hifi nan ?
    • [^] # Re: Outil de désinstallation troué :-D

      Posté par  . Évalué à 9.

      Mais dix ans, c'est quand même pas mal pour une chaîne hifi nan ?


      Ça dépend, celle de mon père avait 25 ans quand il l'a changée... Et encore, il a gardé le lecteur de CD, qui avait à peine 12 ans.
  • # Droit d'auteur=pretexte .

    Posté par  . Évalué à 9.

    En ce moment, le droit d'auteur sert a justifier tout et n'importe quoi.
    Mais les vrais raisons des DRM et limitations des libertés n'ont qu'un objectif: permetre a un minimum de gens de s'en metre plein les poches, quelqu'en soit les moyens.

    SONYBMG souhaite se faire un max de fric en se servant du respect des auteurs comme pretexte.

    Au final, les auteurs de musiques (comme de logiciels proprio) se laissent naivement utiliser par quelques uns pour justifier tous les abus.
    Je pense biensur au projet de lois sur l'EUCD, mais aussi les brevet logiciels et la lcen .

    Mais cette affaire revele au grand jour les veritables motivations hypocrite et cupide de ceux qui pronnent la protection des auteurs par la reductions des libertées individuelles.
    • [^] # Re: Droit d'auteur=pretexte .

      Posté par  . Évalué à 7.

      Le projet de loi sur l'EUCD doit passer devant les députés français le 23 ou 24 décembre 2005.
      - Pendant ce temps 99% des députés seront en train de fourrer leurs dindes.
      - Un des volet qui devrait êtrte voté a été écit par Sony et ses copains (voir le site EUCD.info).
      - Le risque a l'air majeur pour le monde open source.
  • # et les éditeurs d'antivirus qui laggent

    Posté par  (site web personnel) . Évalué à 9.

    On notera aussi que la plupart des éditeurs d'anti-virus/spyware/malware/... ont mis bien beaucoup de temps à réagir sur ce coup là.

    McAffe: 10 jours
    Symantec: 12 jours
    Microsoft: 14 jours
    http://www.schneier.com/blog/archives/2005/11/sonys_drm_root(...)

    pertinent adj. Approprié : qui se rapporte exactement à ce dont il est question.

    • [^] # Re: et les éditeurs d'antivirus qui laggent

      Posté par  . Évalué à 8.

      La trouille du DMCA ?
      • [^] # Re: et les éditeurs d'antivirus qui laggent

        Posté par  . Évalué à 7.

        Si l'antivirus empèche l'installation du rootkit, il n'y a pas de problèmes avec le dmca vu que l'antivirus empèche la mise en place de la protection. Ce n'est pas la mêmes chose que de retirer la protection.

        Par contre, au niveau du scan engine, les symantec et autres ont dû adapter leurs systèmes au dispositif de dissimulation du rootkit.

        Enfin, cataloguer comme virus/malware un logiciel fourni par Sony, c'est toujours s'exposer à un procès en diffamation.
        • [^] # Re: et les éditeurs d'antivirus qui laggent

          Posté par  . Évalué à 5.

          Si l'antivirus empèche l'installation du rootkit, il n'y a pas de problèmes avec le dmca vu que l'antivirus empèche la mise en place de la protection. Ce n'est pas la mêmes chose que de retirer la protection.

          Autre façon de voir le même événement:
          En empêchant l'installation du rootkit l'antivirus retire la protection du CD vu que sans cette action de l'antivirus le CD n'est pas copiable (rootkit/protection agissant) et après l'action de l'antivirus le CD est copiable.

          Je suis sûr que des gentils avocats pourront s'amuser pendant longtemps sue la notion de protection/mise en place/empêchement/....
          • [^] # Re: et les éditeurs d'antivirus qui laggent

            Posté par  . Évalué à 7.

            En empêchant l'installation du rootkit l'antivirus retire la protection du CD vu que sans cette action de l'antivirus le CD n'est pas copiable (rootkit/protection agissant) et après l'action de l'antivirus le CD est copiable.



            Il y a deux mesures:
            - le cd est protégé via une structure de données volontairement défectueuse
            - pour "lire" le cd sur pc, un soft contenant le rootkit est nécessaire.

            En l'occurence, il n'y a pas de changement d'état du cd, il n'est pas plus copiable après l'échec de l'installation à cause de l'antivirus qu'avant. Le rootkit affecte la capacité du pc à extraire les données, pas la capacité du disque à résister à l'extraction de données.
            Le cd reste donc dans le même état que si l'utilisateur n'accepte pas d'installer le rootkit. Le seul truc c'est que l'antivirus ne permettra même pas à l'utilisateur de choisir.
    • [^] # Re: et les éditeurs d'antivirus qui laggent

      Posté par  . Évalué à 8.

      Tiens, je vais alimenter la thèse du complot planétaire :

      Est-ce qu'ils ont mis tant de temps à réagir parce que d'habitude ce sont eux qui écrivent les codes malveillants, ou parce qu'ils connaissent les auteurs ? F4I ne faisait pas partie de leurs indics ?

      Franchement, j'ai du mal à croire que le problème vient des risques d'attaques par Sony-BMG devant les tribunaux alors qu'ils ont fait des excuses publiques. Cela revient implicitement à dire "OK, on a merdé, il faut retirer ce code des machines infectées".

      Je crois plutôt que ce genre de rootkit n'est pas aussi publicitaire qu'un gros "virus" qui descend 50% des machines de l'AFP. Dans ce cas là, on passe dans les titres du 20 heures et effectivement le premier à nettoyer a une couverture médiatique (comprendre publicité gratuite).

      De plus en plus je me rends compte que les lecteurs de linuxfr ne comprennent pas vraiment ce qu'il se passe dans les très grosses boites. Ce n'est pas une attaque, je ne traite pas les autres de naïfs : j'étais pareil il y a quelques années. Depuis, j'ai signé dans une filiale d'une très grosse multinationale de l'info, et je constate comment ça se passe. Les chaines de décisions sont parfois très longues, et souvent la hiérarchie n'est pas représentable par un arbre, mais par un graphe avec cycles ! Il y a des jours où je ne suis franchement pas fier de mon code, mais je suis obligé de l'envoyer sur le SCM tel quel parce que je n'ai pas le temps de faire autrement.

      Tout ça pour dire que les commentaires que j'ai pu lire ici sont intéressants, mais souvent ils montrent une mécompréhention des sociétés telles que Sony-BMG. Je ne les excuse pas ! Il y a des responsables et il faut que ceux-ci soient présentés comme tels, mais je crains qu'une fois de plus un développeur soit cloué au pilori alors qu'il n'est que celui qui a intégré le code, tel que lui a demandé son chef...
      • [^] # Re: et les éditeurs d'antivirus qui laggent

        Posté par  . Évalué à 10.

        Je crois plutôt que ce genre de rootkit n'est pas aussi publicitaire qu'un gros "virus" qui descend 50% des machines de l'AFP. Dans ce cas là, on passe dans les titres du 20 heures et effectivement le premier à nettoyer a une couverture médiatique (comprendre publicité gratuite)
        Attention : si il y a plus de communication publique dans le cas du virus "à succès", c'est peut-être aussi parce qu'il est plus difficile pour des particuliers d'attaquer des entreprises en justice que l'inverse. Sur le plan éditorial, ca attire aussi plus d'audimat d'annoncer des pertes à 10 chiffres pour des groupes dont le nom est connu que des dépenses de 40 euros pour le dépannage d'ordinateurs plantés chez des particuliers inconnus.

        je me rends compte que les lecteurs de linuxfr ne comprennent pas vraiment ce qu'il se passe dans les très grosses boites
        C'est aussi mon point de vue mais... on n'a pas tous fait des études d'informatique. On n'est pas tous rentrés dans la vie active. On n'a pas tous bossé dans des grandes boites (qui sont souvent pleines de petits cubes, d'ailleurs). Pour ceux qui ne savaient pas encore, les grandes boites ca marche comme ca: des ingénieurs et techniciens ont des périodes inactives assez longues où ils passent leur temps à surfer sur internet, jouer à des FPS (si ils font partie du support informatique) ou à transmettre des blagues et des diaporamas porno. Ces périodes correspondent au rythme de la vie familiale des dirigeants de l'entreprise qui d'ailleurs se réveillent une fois tous les 3 mois pour taper du poing sur la table et demander que soit lancés (et terminés rapidement) les projets auxquels ils avaient pensé sans prendre de décision 6 mois plus tôt. A ce moment là, les journées de travail deviennent plus chargées et tout le monde se met à manger des sandwiches à son poste de travail parce que le temps manque pour faire des vrais repas. Chaque projet terminé va ensuite être testé, re-testé, validé, contesté, intégré dans un cadre plus vaste qui sera aussi testé... et s'il y a des bugs/problèmes, on va le passer sous silence parce que les dirigeants sont susceptibles et qu'on ne veut pas se faire virer. On corrigera le tir si des clients se plaignent, et comme on connait déjà le problème, on pourra se vanter d'avoir su réagir très vite aux demandes du client.
        • [^] # Re: et les éditeurs d'antivirus qui laggent

          Posté par  . Évalué à 4.

          Lorsque je parle de la couverture médiatique d'un code malveillant appelé virus par les journalistes mais qui en général est un ver, je veux dire qu'on en parle plus quand ça touche les rédactions. Fin 1999, il s'agissait de Melissa si ma mémoire ne me fait pas défaut, la couverture media était bien plus faible que d'autres qui provoquaient des comportements plus visibles du système : Melissa se contentait de supprimer (ou modifier, je ne sais plus) les fichiers .c et .h, chose qui ne touche absolument pas les journaux.

          Quand tu décris le fonctionnement des sociétés, je suis tout à fait d'accord, sauf sur le point des périodes inactives :-( Pour moi une semaine qui n'est pas chargée est une semaine ou je bosse 40 heures. Mais quand c'est chaud sur les délais, mon patron aime tellement les 35 heures qu'il nous les fait faire deux fois dans la semaine ! Mais bon, là, on n'est plus vraiment sur le sujet de la dépêche...

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.