Plan du site | Mentions légales | Crédits | Espace rédacteur

Ingénieur-conseil indépendant et doctorant en informatique, utilisateur de logiciels libres depuis 10 ans. Major du DESS "Audit et Expertise en Informatique" (droit, économie et informatique) de Paris II.

Nos mots-clefs

Noms de domaine   Marques   Contrats   Lettre du Cejem   Contenu illicite   Conférences et colloques   Bases de données   Droit d’auteur   Professions   Au jour le jour   Brevet   Consommateurs   Signes distinctifs   Régulation   Vie privée  

Cliquez sur un mot pour afficher la liste des articles correspondant

A Noter

Les contrats informatiques par Jérôme Huet et Nicolas Bouche

Présentation de l’éditeur L’ouvrage Les contrats informatiques vise à donner au lecteur, étudiant ou praticien, sous (...)

Droit de la communication numérique de Jérôme Huet et Emmanuel Dreyer

Présentation de l’éditeur : Le droit de la communication numérique est une discipline récente mais en pleine (...)

Mesures techniques anti-copie : L’espion « Sony XCP »

Mots-clefs : Droit d’auteur |

par Jérémie ZIMMERMANN, le mercredi 14 décembre 2005

Est-il possible de respecter les impératifs de sécurité informatique et de respect de la vie privée du public lorsque l’on tente de protéger des œuvres numériques contre la copie ? Le projet de loi concernant le Droit d’Auteur et les Droits Voisins dans la Société de l’Information (DADVSI [1], projet 1206) invite fortement à ce poser cette question.

Au cours de ces derniers mois, Sony-BMG a vendu plusieurs millions d’exemplaires de 52 Disques Compacts (CD) [2] contenant la mesure technique de protection contre la copie, nommée « XCP ». Parmi les auteurs des œuvres figurant sur ces CD figurent des artistes de renommée mondiale tels qu’Art Blakey, Billie Holiday, Louis Armstrong, Ray Charles, ou encore Céline Dion [3]. Quiconque aura simplement inséré l’un de ces CD dans le lecteur de son ordinateur n’aura rien remarqué d’anormal, sinon qu’un logiciel de lecture de CD aux couleurs de Sony se sera chargé de le lire, sans manipulation particulière. Ce fait n’est pas anodin car il démontre qu’en plus des pistes musicales, le CD contenait également une piste de données, sur laquelle résidait manifestement au moins un programme (le logiciel de lecture de CD audio).

Le chercheur en informatique Mark Russinovich a révélé [4] au grand jour le 31 octobre 2005 qu’outre la musique et ce logiciel de lecture de CD, les 52 CD « XCP » contiennent un programme s’installant automatiquement sans en avertir l’utilisateur et sans possibilité de désinstallation, dès que le CD est inséré dans un ordinateur équipé d’un système Microsoft. Rappelons à ce stade qu’un logiciel installé à l’insu de l’utilisateur est techniquement considéré comme un « cheval de Troie » [5]. Ce cheval-ci est en outre capable de se camoufler complètement auprès du système d’exploitation et de tous les autres programmes y évoluant. Ainsi, l’utilisateur se trouve dans l’incapacité totale de savoir que ce logiciel est en permanence activé lorsque l’ordinateur est allumé, ou même simplement qu’il existe. Ce type de programmes, parmi les plus vicieux et les plus craints des experts en sécurité informatique, doit pour cette raison être catégorisé dans les « rootkits » [6].

Une fois installé, le logiciel espion se connecte régulièrement au site internet de Sony, d’une part pour télécharger des images à afficher pendant la lecture et d’autre part pour envoyer à Sony l’identifiant de chaque CD écouté (on imagine aisément la valeur marketing que représentent de telles informations pour un producteur de disques [7]). Par ailleurs, ce programme a principalement pour fonction d’empêcher le CD d’être lu avec un autre logiciel que celui fourni par Sony et d’empêcher le CD d’être copié en plus de trois exemplaires ou converti au format « mp3 ». A ce titre, au regard du projet de loi DADVSI, comme à la lueur de la directive European Union Copyright Directive (EUCD, directive 2001/29/CE) et de son homologue américain le Digital Millenium Copyright Act (DMCA de 1998), ce système XCP est donc bien une « mesure technique » anti-copie.

Soyez prudents !L’annonce de l’existence de ce mécanisme a fait grand bruit dans la presse spécialisée, et s’est propagée comme une trainée de poudre sur Internet. Après avoir pendant quelques jours nié l’évidence, la réaction du PDG de Sony-BMG, Thomas Hesse, a été d’expliquer que « la plupart des gens ne savent pas ce qu’est un ’’rootkit’’, alors pourquoi devraient-ils s’en préoccuper ? ». Il existe en réalité de nombreuses raisons de se préoccuper de l’existence de ce logiciel espion : tout d’abord, plusieurs éditeurs de logiciels anti-virus ont révélé que d’autres chevaux de Troie se répandaient désormais via internet en bénéficiant de la capacité de camouflage du « rootkit » de Sony-BMG pour mieux dissimuler leurs douteuses activités. En outre, l’outil que Sony a finalement mis à disposition des internautes pour se débarrasser de leur logiciel espion ouvrait lui-même un trou de sécurité des plus inquiétants, permettant à n’importe qui de prendre le contrôle à distance de l’ordinateur.

Une autre raison de se préoccuper de ce type de logiciels est que le simple fait d’utiliser un outil supprimant cet espion pourrait être considéré comme un « contournement de mesure technique », et donc assimilé à un délit de contrefaçon au titre du DMCA aux Etats-Unis, et de la directive EUCD dans les pays qui l’ont transposée. Dans ces mêmes pays, publier des informations sur les moyens de contourner cette mesure technique, comme l’a fait M.Russinovich, pourrait également être considéré comme un délit de contrefaçon.

Le détail le plus cocasse de cette histoire est que d’autres chercheurs en informatique ont « autopsié » le logiciel XCP [8] pour découvrir qu’il était indubitablement constitué de portions de logiciels libres couverts par la licence de distribution GNU General Public Licence (GPL). Or la réutilisation de codes source couverts par cette licence n’est autorisée que dans l’éventualité où les travaux dérivés sont également distribués selon les termes de la licence GPL. Les auteurs de cette mesure technique se sont donc eux-même livrés à un acte de contrefaçon puisqu’ils n’ont pas respecté ces termes.

Face au tollé provoqué par ces la révélation de ces informations [9] et par crainte d’une baisse du volume [10] de ses ventes de disques, Sony a finalement retiré du marché tous les CD concernés, et mis en place un système d’échange pour les remplacer par des CD ordinaires. Il a depuis été révélé qu’un autre cheval de Troie, « MediaMax », doté des mêmes fonctionnalités que « XCP », excepté le camouflage « rootkit », a été installé par l’intermédiaire de très nombreux autres CD de la firme.

Cette anecdote inquiétante démontre bien que l’efficacité toute relative [11] de ces mesures techniques est conditionnée par le secret de leurs mécanismes de fonctionnement. Or il semblerait que la mise en œuvre technique et juridique de ce secret puisse avoir des conséquences bien plus néfastes en termes de sécurité et d’atteintes à la vie privée que ne pourrait en avoir la copie privée d’œuvres musicales.

Notes

[1] Voir à ce sujet l’article intitulé « Droit d’Auteur et Droit d’Usage dans la Société de l’Information ».

[2] Certains portaient la mention « CONTENT PROTECTED » (« contenu protégé »), ou « Copy Protection » (« protection contre la copie ») ou le logo de la Fédération Internationale de l’Industrie Phonographique (IFPI).

[3] La liste complète de ces CD a depuis été rendue disponible sur le site de Sony-BMG

[4] Voir le texte original de sa découverte (attention : texte très riche en détails technique, M.Russinovich y détaille la décompilation du programme en question.)

[5] Autrement appelé « Troyen » ou « Trojan » en anglais.

[6] Le terme est probablement en attente de traduction... nous pourrions oser « logiciel fantôme de contrôle total ».

[7] Après avoir démenti, Sony a finalement avoué collecter ces informations tout en jurant « ne pas les utiliser ».

[8] voir à ce sujet cette page très technique . L’ironie veut qu’une partie de ce code source soit la propriété de Jon Lech « DVD Jon » Johansen, connu pour avoir cassé la mesure technique de protection du DVD.

[9] Le laboratoire US-CERT, l’équipe d’alerte en sécurité informatique du Department of Homeland Security (ministère de l’intérieur) américain a d’ailleurs conseillé « de ne pas installer de logiciels à partir de sources qui ne sont pas sensées contenir des logiciels, telles que les CD audio. », ainsi que de « toujours lire les Contrats de Licence Utilisateur Final (CLUF ou EULA en anglais) lorsque vous installez des logiciels. ». L’analyse du contrat « EULA » de ces produits Sony mériterait lui aussi l’intégralité d’un article.

[10] cette fois-ci réelle et directement induite...

[11] En effet la protection anti-copie XCP est contournable à l’aide d’un simple morceau de ruban adhésif opaque ! Aucun détail supplémentaire ne sera révélé ici de crainte que cet article ne soit publié après le vote du projet de loi DADVSI.