Le rootkit de Sony accusé de violation de licences open source

Cloud

L’horizon s’assombrit pour la maison de disques qui semble très embarrassée par cette affaire.

La technologie utilisée par Sony BMG afin d’empêcher le piratage des CD audio serait développée à partir d’un code source volé, estiment deux experts. L’un est allemand (Sebastian Porst), l’autre est finlandais (Matti Nikki). Tous les deux ont analysé l’application mise en cause.

First4Internet, l’éditeur britannique qui a développé XCP, la technologie antipiratage à l’origine de la controverse et déployée sur un bon nombre de CD audio, aurait intégré des éléments de code régis par la licence GPL.

Selon les termes de cette licence, First4Internet a pour obligation de mettre à la disposition de la communauté du Libre le logiciel développé sous le code GPL. Or, elle ne l’a pas fait.

« Sony enfreint les copyrights de programmation open source en distribuant du code qu’il n’a pas le droit d’exploiter pour son propre compte. Même si le code en question a été développé par First4Internet, Sony a quand même assuré sa distribution », dénonce Matti Nikki sur une page Web où il explique les violations de licence constatées.

Après examen du code du logiciel XCP, le duo d’experts assure avoir trouvé de nombreuses références à des fonctions tirées d’applications régies par les licences open source, notamment l’outil baptisé mpg123.

Ce dernier est un lecteur multimédia développé en partie par John Lech Johansen, alias DVD Jon, connu pour avoir contourné le système de protection des DVD. L’application est régie par la licence GPL et une partie du code a été rendue disponible sous la licence GPL Lesser, qui donne aux développeurs encore plus de liberté en cas de réexploitation du code.

La technologie XCP a subi les assauts de la critique après la découverte par des experts en sécurité d’une faille majeure au sein de cet outil antipiratage. Après des semaines de pressions exercées sur Sony, la maison de disques a annoncé qu’elle retirait cette technologie de ses CD et qu’elle rappelerait tous les CD audio infectés qui sont arrivés sur le marché.

La maison de disques a fourni une liste de 52 titres et de numéros de références pour aider les consommateurs à repérer les CD infectés.

Quand une personne insère ce type de CD dans un ordinateur sous Windows, il installe un nouveau lecteur média, une technologie de gestion des droits numériques et un présumé rootkit qui cache la technologie antipiratage aux yeux de l’ordinateur et de l’utilisateur. Le code GPL a été trouvé au sein du lecteur média.

Sony BMG n’a pas réagi aux sollicitations de Vnunet.com qui souhaitait recueillir des précisions. First4Internet n’était pas disponible compte tenu du décalage horaire entre la Californie et le Royaume-Uni, pays qui abrite le siège social de l’éditeur. Auparavant, celui-ci avait déjà refusé d’apporter des commentaires sur les précédents épisodes.

(Traduction d’un article de Vnunet.com en date du 18 novembre 2005)