Navigation
L'actualité informatique et multimédia
Sony BMG : le patch Mediamax à son tour vulnérable
Des patchs, des patchs, oui, mais des patchs Sony !
Des patchs, des patchs, oui, mais des patchs Sony !
Sale temps pour l’industrie du verrou anti-copie. SunnComm, qui fournit le verrou Mediamax à Sony BMG pour la protection de certains CD audio, a lancé voilà peu un message d’alerte. L’une des récentes versions de Mediamax présente un risque de sécurité. Elle permet à un usager disposant de privilèges réduits sur un PC, d'élever ses droits sans l’accord de l’administrateur. La faille avait été découverte par ISEC Partners, une société consultante en sécurité oeuvrant pour l'EFF (Electronic Frontier Foundation).
Dès lors que l’industrie du disque s’acoquine avec celle du logiciel, les bugs de sécurité ne sont sans doute pas exceptionnels. Et comme à chaque fois en ce secteur, une rustine était proposée sur le site et l’éditeur invitait au plus vite à son installation. 6 millions de CD musicaux « protégés » seraient ainsi concernés.
Coup de théâtre : finalement, le dernier patch présenterait lui-même des défauts de conception. Ed Felten, célèbre chercheur en sécurité et enseignant en science informatique à Princeton, a expliqué que « nos essais [ndlr : non publiés] prouvent que le patch en question est peu sûr. » Un autre cabinet spécialiste en sécurité, NGS Software, a relativisé cette découverte, mais selon Ed Felten, nul doute : « Il s'avère qu'une possibilité existe pour qu’une personne puisse piéger les dossiers MediaMax afin qu’un logiciel hostile soit lancé automatiquement lorsque l’on installe et que l’on utilise le patch MediaMax. » SonyBMG a été alerté mais aucun communiqué officiel n'a été publié à cet instant. Pour couronner le tout, il souligne en outre que la première version du désinstalleur Mediamax serait également peu sécurisée, autorisant à son tour des hypothèses d’attaques (voir la page concernée, sur le blog du chercheur).
SonyBMG n’avait sans doute pas besoin d’un tel épisode après celui du problème du rootkit XCP, qui a engendré le rappel des CD dangereux. Or, là encore, le plus complexe dans cette histoire est qu’il va être presque impossible de patcher des millions de CD Mediamax en circulation… « Chaque disque rangé sur une étagère, ou dans les rayons d’un disquaire, attend son heure, prêt à installer le logiciel vulnérable sur le prochain PC dans lequel il s'établira », constate Felten avant de conclure sèchement : « Le temps est venu pour Sony BMG de rappeler l’ensemble des CD Mediamax. »
« Nous devons réévaluer globalement où nous allons avec la protection du contenu des CD » a déclaré au SF Chronicle, Thomas Hesse, président du développement numérique chez Sony BMG. « Je pense que nous avons appris beaucoup de choses dans cet épisode », avant de refuser toute spéculation sur un abandon des protections anticopie sur les CD musicaux.
Cet épisode intervient alors qu’en France une loi similaire au Digital Milenium Act américain, sera votée dans la nuit du 20 au 21 décembre prochain (et non du 22 au 23 finalement). Elle assimilera à la contrefaçon, le contournement d’une mesure de protection ou la simple publication de méthodes permettant de contourner ces éléments et ce, que la protection soit problématique ou non.
Dès lors que l’industrie du disque s’acoquine avec celle du logiciel, les bugs de sécurité ne sont sans doute pas exceptionnels. Et comme à chaque fois en ce secteur, une rustine était proposée sur le site et l’éditeur invitait au plus vite à son installation. 6 millions de CD musicaux « protégés » seraient ainsi concernés.
Coup de théâtre : finalement, le dernier patch présenterait lui-même des défauts de conception. Ed Felten, célèbre chercheur en sécurité et enseignant en science informatique à Princeton, a expliqué que « nos essais [ndlr : non publiés] prouvent que le patch en question est peu sûr. » Un autre cabinet spécialiste en sécurité, NGS Software, a relativisé cette découverte, mais selon Ed Felten, nul doute : « Il s'avère qu'une possibilité existe pour qu’une personne puisse piéger les dossiers MediaMax afin qu’un logiciel hostile soit lancé automatiquement lorsque l’on installe et que l’on utilise le patch MediaMax. » SonyBMG a été alerté mais aucun communiqué officiel n'a été publié à cet instant. Pour couronner le tout, il souligne en outre que la première version du désinstalleur Mediamax serait également peu sécurisée, autorisant à son tour des hypothèses d’attaques (voir la page concernée, sur le blog du chercheur).
SonyBMG n’avait sans doute pas besoin d’un tel épisode après celui du problème du rootkit XCP, qui a engendré le rappel des CD dangereux. Or, là encore, le plus complexe dans cette histoire est qu’il va être presque impossible de patcher des millions de CD Mediamax en circulation… « Chaque disque rangé sur une étagère, ou dans les rayons d’un disquaire, attend son heure, prêt à installer le logiciel vulnérable sur le prochain PC dans lequel il s'établira », constate Felten avant de conclure sèchement : « Le temps est venu pour Sony BMG de rappeler l’ensemble des CD Mediamax. »
« Nous devons réévaluer globalement où nous allons avec la protection du contenu des CD » a déclaré au SF Chronicle, Thomas Hesse, président du développement numérique chez Sony BMG. « Je pense que nous avons appris beaucoup de choses dans cet épisode », avant de refuser toute spéculation sur un abandon des protections anticopie sur les CD musicaux.
Cet épisode intervient alors qu’en France une loi similaire au Digital Milenium Act américain, sera votée dans la nuit du 20 au 21 décembre prochain (et non du 22 au 23 finalement). Elle assimilera à la contrefaçon, le contournement d’une mesure de protection ou la simple publication de méthodes permettant de contourner ces éléments et ce, que la protection soit problématique ou non.
Rédigée par le vendredi 09 décembre 2005 à 08h47 (11746 lectures)
© 2003 -2008 PC INpact SARL de presse. Tous droits réservés ! - Powered by PCI WebEngine - PCINpact.com est un site de PC INpact Network
Glossaire : A B C D E F G H I J K L M N O P Q R S T U V W X Y Z
Toutes les marques citées sur PC INpact appartiennent à leurs propriétaires respectifs ! - Page valide XHTML 1, CSS -
- Générée en 0.0528 s - Top 100 - Nos partenaires
Partenaires : Disque dur multimédia - Personnaliser Windows - Comparatif photo - Forum Science - Tom's Hardware - Sonneries et jeux pour mobiles - Test ADSL
Toutes les marques citées sur PC INpact appartiennent à leurs propriétaires respectifs ! - Page valide XHTML 1, CSS -
- Générée en 0.0528 s - Top 100 - Nos partenairesPartenaires : Disque dur multimédia - Personnaliser Windows - Comparatif photo - Forum Science - Tom's Hardware - Sonneries et jeux pour mobiles - Test ADSL
