Les spywares, nouvelle arme de Loudeye contre le piratage musical
L’industrie de la musique en ligne a trouvé un moyen radical pour perturber les échanges illégaux : des fichiers piégés capables de polluer les ordinateurs avec des dizaines de spywares.
Les méthodes de lutte contre le piratage de fichiers musicaux semblent se radicaliser : le site PC World a en effet révélé la présence sur les réseaux d’échanges peer-to-peer (P2P) de fichiers audio piégés, capables de provoquer l’installation à la chaîne de dizaines de logiciels espions (spywares) et publicitaires (adwares). Le responsable de la diffusion de ces fichiers n’est autre que la société Overpeer, filiale depuis mars 2004 de Loudeye, un des principaux fournisseurs de solutions légales de musique en ligne. Par le passé, Overpeer s’était déjà distinguée dans ce domaine en inondant les réseaux P2P de faux fichiers diffusant des messages contre le piratage.
Cette fois, les fichiers audio, au format WMA de Microsoft, sont bien réels mais beaucoup plus nuisibles aux ordinateurs sur lesquels ils seront lus. Explications : les fichiers WMA peuvent contenir un système de protection des droits (DRM) dans l’en-tête desquels il est possible de placer du code, originellement destiné à appeler une fenêtre pop-up à vocation publicitaire. Grâce à cette fonction, Overpeer appelle ainsi une page qui à son tour va déclencher, via un ActiveX, l’installation d’un premier spyware (en l’occurrence issu de la société ProtectedMedia) sous couvert d’une demande d’obtention de licence. Le système Windows XP demande à l’utilisateur son autorisation pour installer le logiciel ; un clic sur le bouton « OK » déclenche alors, selon Ben Edelman, un spécialiste américain des spywares, l’installation de pas moins de 31 logiciels espions plus ou moins dangereux laissant quelque 12 000 entrées dans la base de registres !
oeil pour oeil, dent pour dent
Si le procédé peut sembler à la limite de la légalité, les responsables de Loudeye l’assument complètement. Le vice-président de la société, Mark Morgenstern, aurait ainsi justifié cette action en affirmant que les victimes sont des personnes ayant téléchargé des contenus de manière illicite. Cependant, la méthode employée est contestable à plus d’un titre : l’installation des logiciels n’est à aucun moment clairement notifiée, même lorsqu’on clique sur le lien censé donner plus de détails sur les logiciels concernés. D’autre part, Microsoft pourrait avoir son mot à dire dans cette histoire dans la mesure où ce type de manipulation est susceptible d’être en contradiction avec la licence d’utilisation de son logiciel Windows Media Player, actuellement le seul vecteur connu de ces fichiers piégés.
Cela dit, seuls les utilisateurs imprudents et quelque peu naïfs risquent de se retrouver dans cette situation embarrassante. En effet, les systèmes Windows XP équipés du correctif de sécurité SP2 et de la version 10 de son lecteur multimédia sont immunisés contre ce type d’attaques. De plus, il suffit de refuser l’installation du logiciel lorsque le système en demande l’autorisation pour éviter l’invasion de spywares et écouter le morceau de musique. Autres solutions : bannir les fichiers WMA avec DRM ou, tout simplement, les acheter sur des plates-formes légales de musique en ligne. Celles travaillant avec Loudeye, par exemple.