La RIAA rentre sur vos machines avec des MP3/vidéos spéciaux

Posté par  . Modéré par Val.
Étiquettes :
-1
18
jan.
2003
Sécurité
Sur SecurityFocus, un message envoyé à BugTraq sous le titre "Local/remote mpg123 exploit" explique que la RIAA (Recording Industry Association of America) a recruté il y a quelques mois la société GOBBLES Security, afin de créer et déployer des outils anti-piratage. Ils s'attachent à créer des hybrides virus/worm qui infectent les réseaux P2P, en exploitant les trous de sécurité des lecteurs audio et vidéo.

Ndm : c'est un fake En fait le principe est de créer des fichiers audio ou vidéo qui exploitent les trous de sécurité des lecteurs. L'exemple donné dans le message concerne un lecteur sous Linux, mpg123. Certes il est vieux et sans doute plus beaucoup utilisé (son remplaçant GPL est mpg321), mais ça donne une idée.

Sur une mailing-list, un type montre des traces de debuggage où un fichier infecté joué par mpg123 affiche ceci :
Playing MPEG stream from pos.mpg ...
rm -rf ~ in 5 seconds.. CTRL-c to abort

Ils ont développé des attaques pour les lecteurs suivants :
mplayer (www.mplayerhq.org)
WinAMP (www.winamp.com)
Windows Media Player (www.microsoft.com)
xine (xine.sourceforge.net)
mpg123 (www.mpg123.de)
xmms (www.xmms.org)

Le but de l'exploit est de pourrir les logiciels de P2P présents, et ensuite de remonter des informations à la RIAA sur les fichiers média contenus dans la machine infectée.

Ils prétendent que les résultats ont dépassé leurs espérances, et qu'environ 95% de toutes les machines participant aux réseaux P2P sont infectées par les logiciels développés par la RIAA.

J'ai cependant un doute sur le sérieux de l'article pour au moins 2 raisons, d'une part le ton utilisé à la fin de l'article ("Don't fuck with the RIAA again, scriptkids"), d'autre part le fait qu'il s'agit de piratage de la part de la RIAA (si on faisait l'inverse chez eux on serait poursuivi).

Aller plus loin

  • # Re: La RIAA rentre sur vos machines avec des MP3/vidéos spéciaux

    Posté par  . Évalué à 10.

    rm -rf ~

    C'est pas idiot, comme ça, les gens vont être obligé de faire des sauvegardes, donc ils vont acheter des cédés vierges et hop! ça nous donne une augmentation des revenus sur la taxe des supports. C'est qu'il y en a là dedans tout de même.

  • # Re: La RIAA rentre sur vos machines avec des MP3/vidéos spéciaux

    Posté par  . Évalué à 10.

    Un peu vieillotte, la nouvelle...
    C'est un hoax!!!
    http://theregister.co.uk/content/6/28919.html(...)

    • [^] # Re: La RIAA rentre sur vos machines avec des MP3/vidéos spéciaux

      Posté par  . Évalué à 10.

      Bah, le message original de Gobbles date du 13... C'est pas si vieillot que ça, on en trouve de plus vieilles ; )

      Citation du message:

      « The professional staff of GOBBLES Security believe that by releasing our
      advisories without vendor notification of any sort is cute and humorous, so
      this is also the first time the vendor has been made aware of this problem.
      We hope that you're as amused with our maturity as we are. ;PpPppPpPpPPPpP »

      Ca veut tout dire, non? : )

    • [^] # Re: La RIAA rentre sur vos machines avec des MP3/vidéos spéciaux

      Posté par  . Évalué à 10.

      En effet, c'est un faux, j'avais des doutes (comme je l'ai précisé) et j'en ai eu la confirmation par l'article suivant :
      http://www.eweek.com/print_article/0,3668,a=35755,00.asp(...)

      Ma nouvelle ayant mis du temps à être modérée (j'ai l'ai soumise le 14 ou le 15), j'ai cru qu'un modérateur était tombé sur un des démentis et qu'elle ne serait pas publiée...

      Même si c'est un faux, en première lecture rapide ça m'avait l'air d'être relativement plausible, ça nous apprendra au moins à être encore plus prudent et à nous méfier un peu plus de ces "majors" de la musique et du cinéma. Cela dit, je ne regarde pas d'un très bon oeil ceux qui passent leur temps à pomper des MP3 sur le Net et qui n'achètent jamais de disque.

      • [^] # Re: La RIAA rentre sur vos machines avec des MP3/vidéos spéciaux

        Posté par  (site web personnel) . Évalué à 5.

        Cela dit, je ne regarde pas d'un très bon oeil ceux qui passent leur temps à pomper des MP3 sur le Net et qui n'achètent jamais de disque.

        Tout dépend ce que l'on écoute.

        • [^] # Re: La RIAA rentre sur vos machines avec des MP3/vidéos spéciaux

          Posté par  (site web personnel) . Évalué à 10.

          Je précise mon post quand même: Tout le monde n'écoute pas ce qu'on peut trouver à la fnac. Idem pour le partage des videos, je n'ai pas vu amelie poulain, le seigneur des anneaux, asterix, en gros j'ai du aller 10x au cinema dans ma vie (j'habite Toulouse pourtant) mais ca ne m'empeche pas de telecharger des videos parfois. Seulement ne voyant pas de pubs pour le dernier blockbuster, je fouine plutot au hasard, et si la video me plait, il n'est pas rare que je m'achete le DVD par la suite, mais en ligne, car souvent introuvable localement.

          Je n'ai pas de tuner a la maison (tele et radio), ce qui me laisse peut-etre plus libre dans mes choix culturels. En contre-partie, tu m'enleves le P2P et il ne me reste que la bilbliotheque comme resource...

          • [^] # Re: La RIAA rentre sur vos machines avec des MP3/vidéos spéciaux

            Posté par  (site web personnel) . Évalué à 7.

            tu m'enleves le P2P et il ne me reste que la bilbliotheque comme resource...


            soit, en faisant une selection sévère, de quoi passer plusieurs milliers de vies de lecture...............y'a pas que la musique et la video dans la vie !

            • [^] # Re: La RIAA rentre sur vos machines avec des MP3/vidéos spéciaux

              Posté par  . Évalué à 2.

              Si on ne garde que TF1, M6 et MTV, on peut déjà consacrer trois vies devant son écran. Trois vies sont suffisantes pour bien du monde.
              Sur cette lancée audacieuse, je dirai sans hésiter que les bibliothèques sont inutiles. Avec la télé, les gens pourront tres bien se passer de livres et d'ordinateurs.

              Restons sérieux. L'abondance peut elle justifier la disparition d'un média ?

          • [^] # Re: La RIAA rentre sur vos machines avec des MP3/vidéos spéciaux

            Posté par  . Évalué à 7.

            Je précise mon post quand même: Tout le monde n'écoute pas ce qu'on peut trouver à la fnac.

            Justement, on trouve plus de trucs a la fnac qu'en p2p. Le principe du p2p c'est de replique ce qui est demande, alors le dernier tube de madonna tu le trouves sans probleme. Si tu veux un petit groupe breton tu vas le trouver a la fnac de Nantes, sur p2p faut tomber le bon jour sur le seul mec qui l'a encode et mis en partage (pas de duplication, puisque personne ne le cherche).

            Je tiens a preciser une chose: sur le p2p on ne trouve que ce qu'on cherche, donc ca ne sert surtout pas a decouvrir de nouveaux artistes.

            • [^] # Re: La RIAA rentre sur vos machines avec des MP3/vidéos spéciaux

              Posté par  (site web personnel) . Évalué à 4.

              Ca m'étonnerais.

              Il m'arrive souvent sur soulseek (logiciel pyslsk) de choisir une room au hasard pour parler avec quelqu'un. Je vais souvent sur les rooms espagnols et je leur demande ce qu'ils écoutent et si ils ont des morceaux à me faire écouter.
              Résultat j'ai trouvé des perles en espagnol et je ne les aurais jamais trouvé à la fnac

              L'association LinuxFr ne saurait être tenue responsable des propos légalement repréhensibles ou faisant allusion à l'évêque de Rome, au chef de l'Église catholique romaine ou au chef temporel de l'État du Vatican et se trouvant dans ce commentaire

            • [^] # Re: La RIAA rentre sur vos machines avec des MP3/vidéos spéciaux

              Posté par  (site web personnel) . Évalué à 3.

              Complètement faux...

              Je vais te donner du concret: en ce moment, je fouine sur OpenFT ( http://www.giftproject.org/(...) ) et bien qu'il n'y ait que 500 connectes, il y a beaucoup de .ogg (audio et vidéo) intéressants et originaux (dans le sens non communs)

              Il me suffit de tapper des mots au hasard, ou mieux, de chercher qquechose que j'aime, de fouiller dans les répertoire partagés par l'utilisateur qui possède les fichiers trouvés, et de trouver d'autres perles.

  • # Re: La RIAA rentre sur vos machines avec des MP3/vidéos spéciaux

    Posté par  . Évalué à 10.

    hoax ou pas le problème n'est pas là. est ce que vous croyez vraiment que celà serait impossible que la RIAA fasse quelque chose comme ça? n'y a t'il pas la moindre chance qu'une telle situation se produise?

    je suis peut être naif mais le propre d'une démocratie n'est t'il pas justement que les citoyens/groupe de citoyens/entreprises ne puissent pas se faire justice par eux mêmes?
    la RIAA a t'elle le droit de faire la défense, l'avocat de la défense, le juge, les jurés et le bourreau?

    • [^] # Re: La RIAA rentre sur vos machines avec des MP3/vidéos spéciaux

      Posté par  . Évalué à -1.

      « je suis peut être naif mais le propre d'une démocratie n'est t'il pas justement que les citoyens/groupe de citoyens/entreprises ne puissent pas se faire justice par eux mêmes? »

      Non, c'est exactement l'inverse.

      Le principe de la démocratie est de donner le pouvoir au corps civique dans son entier. Donc de proteger les citoyens d'éventuels groupes de citoyens (ou autre) en laissant reposer les décisions par les organismes élus par le corp civique entier.

      Aussi, la justice faite par soi à de fortes chances d'être empreinte d'esprit de vengeance. Et la vengeance n'est pas justice.

    • [^] # Re: La RIAA rentre sur vos machines avec des MP3/vidéos spéciaux

      Posté par  . Évalué à 10.

      Tout de maniere certaines societes ne ce genent pas pour pourrir le p2p : il suffit d'envoyer des parties corrompues en s'arrangeant qu'elles aient le meme md4 que l'original et puis comme c'est le dernier film/mp3/iso qui est sorti il y a des demandes a profusions et qu'ils utilisent des lignes a hauts debits, les parties corrompues se propagent a vitesse grand V, et puis ceux qui ont télécharger ces parties font relai et ainsi de suite....
      Au final on se retrouve avec un film irregardable, ou pire une iso foireuse.....

      Pour les virus/worm circulant dans des fichier audio et video ça me parrait beaucoup plus difficile a realiser etant donner qu'il ne peuvent pas se "lancer" sans un lecteur qui lui meme l'envoye au codec adequat sans vraiement le lire....

      • [^] # Re: La RIAA rentre sur vos machines avec des MP3/vidéos spéciaux

        Posté par  . Évalué à 4.

        le md4 et le md5 reposent sur le même principe ou pas?
        il me semble justement qu'avec une empreinte sur 128bit il est impossible que 2 fichiers aient la même signatutre avec le md5. si le principe de signature des fichiers des reseaux p2p est pareil il sera impossible que la RIAA fasse cela.

        • [^] # Re: La RIAA rentre sur vos machines avec des MP3/vidéos spéciaux

          Posté par  (site web personnel) . Évalué à 10.

          Un simple raisonnement de combinatoire peut montrer qu'une même signature MD4, MD5 ou quoique ce soit peut correspondre à plusieurs fichiers.

          Avec un signature de taille k bits on peut construire un nombre fini de signatures (2^k exactement) or on peut constuire plus de 2^k fichiers .

          Rien qu'en prenant les fichiers de k+1 bits par exemple, on peut en construire 2^(k+1) soit au mieux associer 2 fichiers de k+1 bits par signature de k bits.

        • [^] # Re: La RIAA rentre sur vos machines avec des MP3/vidéos spéciaux

          Posté par  . Évalué à 6.

          c'est surtout que le md4 n'est plus sûr :
          http://www.rsasecurity.com/rsalabs/faq/3-6-6.html(...)
          Dobbertin [Dob95] has shown how collisions for the full version of MD4 can be found in under a minute on a typical PC.
          .....Clearly, MD4 should now be considered broken.

        • [^] # Re: La RIAA rentre sur vos machines avec des MP3/vidéos spéciaux

          Posté par  . Évalué à 10.

          non,
          et pour "vulgariser" un peu on peu dire qu'un md5 ou md4 n'est qu'un hash (une empreinte) de x bit.
          si tu veux une empreinte vraiement unique, elle ferra le meme nombre de bit que le fichier original (ca pert de son interret!!!!)

          on pourrait même dire que le bit de parité est une emprinte de 1 bit.
          et la c'est clair que c'est pas unique.

          c'est une question de theorie de l'information, si t'as besoin de 600Mo pour decrire une information(un CD par ex.), tes 128 petits bits ne peuvent pas l'identifier de maniere unique, sinon ca voudrait dire qu'il n'y a que 2^128 informations differentes (CD differents).
          Alors qu'en l'occurence, il y a 2^(600*1024*1024*8) information differents (ou CD differents)

          d'une maniere generale, si ce que tu dis est vrai, une information == une empreinte, on peu se passer le l'information, puisque c'est bijectif, on ne garde que l'empreinte.

          c'etait la minute de mr cyclopede ;)

          • [^] # Re: La RIAA rentre sur vos machines avec des MP3/vidéos spéciaux

            Posté par  . Évalué à 8.

            «d'une maniere generale, si ce que tu dis est vrai, une information == une empreinte, on peu se passer le l'information, puisque c'est bijectif, on ne garde que l'empreinte.»

            C'est comme ça que marche i2bp ? :)

          • [^] # Re: La RIAA rentre sur vos machines avec des MP3/vidéos spéciaux

            Posté par  . Évalué à 8.

            >si tu veux une empreinte vraiement unique, elle ferra le meme nombre de bit que le fichier original (ca pert de son interret!!!!)

            Ben non, pas exactement, l'empreinte unique d'un fichier peut être réduite a la taille du fichier compressé par une méthode sans perte d'information. Ce qui n'est guère plus intéressant...

            M. Cyclopède est souvent un peu approximatif :p

            • [^] # MR cyclopede

              Posté par  . Évalué à 0.

              M. Cyclopède est souvent un peu approximatif :p

              Oui, Mr cyclopede, ne s'interresse pas la la "compressibilité" de l'information :p

              Tu as raison, mais du point de vu theorique, faut faire attention a ce point.
              En compressant une information, ont obtient une information.. faut faire attention à ne pas arriver recursivement a une information de un bit :)


              bon j'arrete, ca va devenir n'importe quoi ;)
              ->[]

          • [^] # Re: La RIAA rentre sur vos machines avec des MP3/vidéos spéciaux

            Posté par  . Évalué à 0.

            non la theorie de l'information, dit que tu a besoin d'un signature equivalente a tes 600Mo compressé de maniére idéale ( cf, le bit n+1 a 1/2 chance d'étre le complement du bit n ).

            En general on se comptante d'une empriente dence dans le domaine avec une bonne entropie.

            Apres on n'est plus proche du masque jetable que du la valeur d'enpreinte.

            • [^] # [HS] Perso

              Posté par  . Évalué à 5.

              Franchement, que tu fasses des fautes, je veux bien, mais là, entre ce commentaire et celui que tu fais un peu plus haut, tu deviens complètement illisible.

              • [^] # Re: [HS] Perso

                Posté par  . Évalué à -1.

                C'est pour forcer le retour des signatures en bas des postes.

                • [^] # Re: [HS] Perso

                  Posté par  . Évalué à 0.

                  Ta signature n'est pas un prétexte pour faire des fautes. Tu deviens franchement incompréhensible.
                  Enfin, tu fais ce que tu veux, mais c'est dommage.

                  • [^] # Re: [HS] Perso

                    Posté par  . Évalué à 0.

                    Ce n'est pas un pretexte juste une mise en garde, actuellement j'ai quelque probleme ce qui explique la degradation de la lisibilitée de mes postes, la situation devrait revenir a la normal d'ici 1 a 2 semaines .

                    Enfint je milite toujours activement pour le retour de la signature.

          • [^] # Re: La RIAA rentre sur vos machines avec des MP3/vidéos spéciaux

            Posté par  . Évalué à 3.

            Oui, mais le « truc », ce n'est pas que deux informations ayant la même empreinte n'existent pas, c'est qu'il n'est pas possible d'en trouver deux en un temps donné, avec une puissance de calcul donnée.

            Donc si en théorie, il existera deux fichiers ayant la même empreinte md5 128 bits, en pratique, il sera impossible -- à moins de disposer d'une puissance de calcule égale à celle de distributed.net : ) -- d'en trouver deux vérifiant cette propriété

    • [^] # Re: La RIAA rentre sur vos machines avec des MP3/vidéos spéciaux

      Posté par  (site web personnel) . Évalué à 8.

      D'après ce que j'ai lu sur internet (en essayant de recouper un peu les information tout de même) la RIAA semblerait habitué à faire des coups frisant l'illégalité comme par exemple scaner les disques durs des gens à leur insus http://www.informationwave.net/news/20020819riaa.php(...)
      mais il semble que leur meilleur technique soit de faire peur http://www.ratiatum.com/index.php?article=279(...) et lancer de gros hoax est peut-être l'étape suivante.

      Sinon j'ai entendu dire que la RIAA chercherait à faire passer une loi aux US qui lui permettrai de se faire justice elle-même (pirater les pirates) mais je sais plus où j'ai lu ça, je retrouve plus mes sources :)

    • [^] # Re: La RIAA rentre sur vos machines avec des MP3/vidéos spéciaux

      Posté par  . Évalué à 1.

      Elle a obtenu ce droit aux états-unis, je l'avais lu ca fait un certain temps déjà

      • [^] # Re: La RIAA rentre sur vos machines avec des MP3/vidéos spéciaux

        Posté par  . Évalué à 10.

        Heureusement, elle n'a jamais obtenu ce droit. La RIAA a bien essayé de faire passer une loi dans ce sens, mais le Congrès américain n'a pas introduit les termes de la RIAA dans les nouvelles lois qu'ils ont passées. Cela a eu lieu au mois d'octobre 2001, en pleine crise de paranoïa aigue de la part du Congrès et au milieu de toutes les lois sécuritaires qui ont été acceptées à cette époque. La RIAA a essayé alors d'assimiler le piratage au terrorisme et voulait prendre la lutte contre le piratage entre ses mains, s'estimant seule qualifiée pour régler ce problème. Il semble que la RIAA n'avait quand même pas assez de sénateurs à ses bottes pour réussir à détruire ainsi les bases d'un état de droit.

        Un petit lien expliquant les bases de cette loi et indiquant qu'elle n'a pas été acceptée par le Congrès : http://www.wired.com/news/print/0,1294,47552,00.html(...)

        Zeiram

        • [^] # Re: La RIAA rentre sur vos machines avec des MP3/vidéos spéciaux

          Posté par  . Évalué à 10.

          Les terroristes talibans avaient interdit le cinema et la musique. Alors pour lutter contre le terrorisme, autorisont la dffusion gratuite de film et de chanson.
          Ca aussi ça aurait pu être une loi contre le terrorisme.
          Il manque vraiment, ce [-1]

  • # Re: La RIAA rentre sur vos machines avec des MP3/vidéos spéciaux

    Posté par  (site web personnel) . Évalué à 10.

    Je doûte que celà puisse exister sachant que les softs linux (mpg123, xine, mplayer, xmms,...) sont utilisés par une niche restreinte de personnes. Perdre de l'argent en R&D pour trouver des trous de sécurité et les exploiter serait ridicule. En plus ils ont pas finis avec le bon millier de lecteur mp3 qu'il existe sur toutes les plateformes existantes :)

    L'association LinuxFr ne saurait être tenue responsable des propos légalement repréhensibles ou faisant allusion à l'évêque de Rome, au chef de l'Église catholique romaine ou au chef temporel de l'État du Vatican et se trouvant dans ce commentaire

  • # Ce n'est pas un hoax c'est trés sérieux

    Posté par  . Évalué à 10.

    D'ailleurs, il est facile de savoir si sa machine est infestée, il y a un bug dans le ver qui fait que les claviers se bloquent.
    héhé je parie que vous avez cru que j'allais mettre "se blo". héhé, ben non, parce que ma machine ne pourra jamais être inféctée étant donné que je ne télécharge jam

    • [^] # Re: Ce n'est pas un hoax c'est trés sérieux

      Posté par  (site web personnel) . Évalué à 8.

      iroquaï ?

      L'association LinuxFr ne saurait être tenue responsable des propos légalement repréhensibles ou faisant allusion à l'évêque de Rome, au chef de l'Église catholique romaine ou au chef temporel de l'État du Vatican et se trouvant dans ce commentaire

  • # Re: La RIAA rentre sur vos machines avec des MP3/vidéos spéciaux

    Posté par  (site web personnel) . Évalué à 10.

    a raprocher de : http://linuxfr.org/~earxtacy/964.html(...) .
    99% de chances pour que ca soit un hoax, rien que le fait que ca soit gobbles... :)

  • # Re: La RIAA rentre sur vos machines avec des MP3/vidéos spéciaux

    Posté par  . Évalué à 6.

    Le piratage informatique est un crime, quel que soit la personne qui le fasse et quelles que soient ses raisons! Je ne vois vraiment pas la RIAA commencer à jouer à ce petit jeu sur internet... leur role est de faire du lobying auprès des gouvernements et de récolter les quote-parts des artistes sur la vente de leurs oeuvres... pas de jouer aux petits soldats...

    • [^] # Re: La RIAA rentre sur vos machines avec des MP3/vidéos spéciaux

      Posté par  . Évalué à 10.

      Le piratage informatique est un crime

      Un crime, tu n'y vas pas de main morte !
      Tout d'abord il faut bien définir ce qu'on entend par piratage informatique :
      - copie non autorisée de fichiers (recopie de programmes ou de fichiers multimédias)
      - simple intrusion dans un système
      - intrusion dans un système avec vol
      - ou encore, ce qui est à mon avis le plus dangereux, intrusion dans un système avec mise en danger de la vie d'autrui (par exemple un système de contrôle ou surveillance de trafic aérien).

      Dans la plupart des cas, c'est un délit au même titre que le vol. Dans le dernier cas que je cite, je ne suis pas un spécialiste en droit, ça pourrait sans doute être qualifié en crime (l'homicide involontaire est-il un crime ? si quelqu'un peut nous éclairer).

      • [^] # Re: La RIAA rentre sur vos machines avec des MP3/vidéos spéciaux

        Posté par  . Évalué à 10.

        L'intrusion dans un système est un délit... il engage la responsabilité de son auteur qui devra indemniser les victimes des conséquences de son acte.
        C'est pour cela que la RIAA n'a aucun intéret à rentrer dans ce petit jeu... d'une part elle se montrerait coupable d'un délit puni presque partout dans le monde et d'autre part elle risquerait de devoir indemniser beaucoup de gens des conséquences de son action.

    • [^] # Re: La RIAA rentre sur vos machines avec des MP3/vidéos spéciaux

      Posté par  . Évalué à 2.

      Pour définir un « crime », il serait souhaitable d'employer des mots qui résument les faits de manière neutre. Donc pour commencer par ne pas employer le mot « pirate ».

  • # Re: La RIAA rentre sur vos machines avec des MP3/vidéos spéciaux

    Posté par  . Évalué à 8.

    Mwahahaha je me marre, mattez ca:

    http://rapaces.zehome.com/riaa.org.hacked.png(...)

    screenshot pris le 2003-01-11

    et ils prétendent hacker des gens, MWAHAHAHHAHAHAHA JE ME MARRE.

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.