Affaire du rootkit Sony : fin de la saga judiciaire

Mobilité

Sony BMG met un terme au conflit l’opposant à l’Etat de Californie relatif au
scandale du logiciel anti-piratage installé sur ses CD qui cachait un rootkit.

Sony BMG a réglé à l’amiable un procès l’opposant à l’Etat de Californie concernant l’affaire du rootkit installée illégalement sur des ordinateurs de particuliers ayant acheté des CD équipés d’un logiciel anti-piratage en provenance la maison de disques.

La major a accepté de verser une amende de 750 000 dollars et de dédommager les consommateurs à hauteur de 175 dollars en réparation du coût des réparations informatiques nécessaires pour désinstaller le logiciel DRM (digital rights management ou outil de gestion des droits numériques) fourni par la compagnie avec certains de ses CD musicaux. Le règlement du litige interdit par ailleurs à Sony de distribuer des CD utilisant la technologie DRM sans en informer explicitement le consommateur.

Cette décision met fin au conflit suscité par le scandale du rootkit qui avait fait grand bruit en 2005. Dans l’espoir de limiter la copie illégale, Sony avait alors installé un logiciel anti-piratage sur certains de ses CD musicaux, une application s’installant automatiquement sur l’ordinateur de l’utilisateur dès l’insertion du CD. Afin d’empêcher l’utilisateur de désinstaller l’application, le logiciel utilisait une technologie rootkit pour dissimuler les fichiers et les processus de manière à ce qu’ils ne soient détectés ni par l’utilisateur, ni par le système.

Les experts en sécurité ont estimé pour leur part que le rootkit était extrêmement mal conçu et qu’il pouvait être exploité par n’importe quel auteur de vers en plaçant simplement les caractères « $sys$ » devant un nom de fichier. Mais si Sony a dans un premier temps démenti tout problème de sécurité lié à l’usage de son logiciel, le cheval de Troie Stinx-E lui a donné tort en exploitant rapidement les fonctionnalités du rootkit.

On estime qu’environ 450 000 californiens auraient acheté un ou plusieurs CD infectés, mais l’Etat de Californie n’a pas été en mesure de déterminer le nombre exact d’utilisateurs ayant effectivement introduit leur CD dans leur ordinateur et pouvant ainsi prétendre à une compensation financière.

Sony a dû répondre des trois chefs d’accusation suivants : fausse publicité ou publicité mensongère, pratiques commerciales injustes ou illégales et accès non-autorisé à des ordinateurs personnels.
« Les maisons de disques qui souhaitent installer sur leurs CD un logiciel limitant les risques de copie devraient en informer explicitement le consommateur, ne pas le dissimuler et s’assurer qu’il ne présente aucun risque de sécurité pour les ordinateurs », a déclaré Bill Locyer, le procureur général de Californie.

« Pour sa défense, Sony BMG a bien retenu la leçon et a immédiatement mis un terme aux pratiques qui ont donné lieu à ces poursuites. Mais cette décision protège encore davantage le consommateur en interdisant définitivement ce type de conduite et en obligeant Sony BMG à indemniser ses clients pour les dépenses remboursables encourues pour la réparation des dommages informatiques causés par le logiciel. »

En janvier, Sony avait mis un terme à l’action collective engagée à son encontre par un groupe de consommateurs, en acceptant d’échanger les CD et de verser aux plaignants une compensation en espèce allant jusqu’à 7,50 dollars.

Traduction d’un article de Vnunet.com en date du 20 décembre 2006