Au sujet du Rootkit de Sony

Salutations *Emmanuel Florac* , tu nous disais :

C'est quand même pas lors de l'insertion du CD de Sony qu'il est
installé automatiquement sans aucune confirmation de l'utilisateur
non ?

Ah ben non, d'après le blog en question tu as droit à un installeur,
une licence à approuver, tout ça. Mais personne ne lit jamais ce qui
est écrit dans ces cas là, même pas les pros de la sécurité...

De toute manière, rien dans la licence n'indique l'installation de ce
truc...

@+

--
~Jean-Marc~
Contact : http://msmvps.com/docxp/contact.aspx
Site : http://perso.wanadoo.fr/doc.jm/ http://docxp.mvps.org
WebLog : http://msmvps.com/docxp/

Fabien LE LEZ wrote:

Faut dire aussi que les pros de la sécurité ont rarement un niveau
suffisant en droit pour comprendre quoi que ce soit à un contrat de
licence.

Contrats souvent rédigés de manière à planquer le plus grand nombre de
trucs. Et, de fait, personne ne les lit.

J'ai souvenir d'une boite qui avait inséré au milieu de son contrat de
license "si vous êtes le premier à lire ce paragraphe et à nous
contacter, vous gagnez une somme d'argent". Il aura fallu plusieurs mois
avant que quelqun s'aperçoive de la chose, et remporte la cagnotte!

Au delà de l'anecdote, qui lit réellement les petites lignes avant de
poursuivre l'installation ? C'est un moment où, en général, on est
pressé, où l'on s'est loggé spécialement sur un compte d'installation,
et où l'on doit passer rapidement sur un charabia de 20 pages écrits
dans une langue obscure, le tout enfermé dans une minuscule boite défilante.

Je suis d'avis que moins de 1% des admins lisent les contrats. Ce qui
pose le problème des clauses "abusives" ; par exemple l'utilisation de
la machine par des personnes exterieures, la fuite de données etc. Le
bon réflexe pour une société serait peut être d'imprimer le contrat en
installant (idéalement, avant), et de le passer au service juridique
pour vérification.

Xavier Roche wrote:

Fabien LE LEZ wrote:

Faut dire aussi que les pros de la sécurité ont rarement un niveau
suffisant en droit pour comprendre quoi que ce soit à un contrat de
licence.

Contrats souvent rédigés de manière à planquer le plus grand nombre de
trucs. Et, de fait, personne ne les lit.

J'ai souvenir d'une boite qui avait inséré au milieu de son contrat de
license "si vous êtes le premier à lire ce paragraphe et à nous
contacter, vous gagnez une somme d'argent". Il aura fallu plusieurs mois
avant que quelqun s'aperçoive de la chose, et remporte la cagnotte!

Au delà de l'anecdote, qui lit réellement les petites lignes avant de
poursuivre l'installation ? C'est un moment où, en général, on est
pressé, où l'on s'est loggé spécialement sur un compte d'installation,
et où l'on doit passer rapidement sur un charabia de 20 pages écrits
dans une langue obscure, le tout enfermé dans une minuscule boite
défilante.

Je suis d'avis que moins de 1% des admins lisent les contrats. Ce qui
pose le problème des clauses "abusives" ; par exemple l'utilisation de
la machine par des personnes exterieures, la fuite de données etc. Le
bon réflexe pour une société serait peut être d'imprimer le contrat en
installant (idéalement, avant), et de le passer au service juridique
pour vérification.

Prochaine fois que j'achète un CD avec ce type d'installation j'appelle
mon avocat pour qu'il vérifie la licence ;)

Fabien LE LEZ wrote:

On 08 Nov 2005 18:38:52 GMT, Kupee <rien@rien.rien>:

C'est quand même pas lors de l'insertion du CD de Sony qu'il est
installé automatiquement

Ben si, via autorun.inf.

sans aucune confirmation de l'utilisateur non ?

En fait, il demande à l'utilisateur de confirmer qu'il accepte la
licence.

Oui c'est donc pas totalement sans actions de l'utilisateur, c'est juste
qu'ils abusent un peu de l'autorisation donnée par ce dernier.
Reste a savoir s'il était possible de l'installer automatiquement a
l'insertion du CD sans intervention de l'utilisateur. Probablement que
oui malheureusement

Le Wed, 02 Nov 2005 22:33:48 +0000, Xavier Roche a écrit :

Le problème de fond, c'est l'installation de code hostile (ici, le DRM
de Sony) sur une machine. Et TCPA ne changera rien: le rootkit sera
juste signé par VerySign, mais il n'en restera pas moins hostile.

Plus d'infos ici:
<http://www.theinq.net/?article'349>

Finalement, avec Sony, il vaut mieux pirater la musique que l'acheter,
c'est beaucoup plus sûr.

Et le code est effectivement hostile car il permet à un maladroit de
laisser la main sur sa machine plus facilement :

http://www.sophos.com/pressoffice/news/articles/2005/11/stinxe.html

Reste à espérer (sic) que ça va se produire chez un "gros" afin que la
somme récupérable au civil soit suffisament importante pour déclancher
un procès :-/

Eric

Eric Razny wrote:

Et le code est effectivement hostile car il permet à un maladroit de
laisser la main sur sa machine plus facilement :
http://www.sophos.com/pressoffice/news/articles/2005/11/stinxe.html
Reste à espérer (sic) que ça va se produire chez un "gros" afin que la
somme récupérable au civil soit suffisament importante pour déclancher
un procès :-/

Une class action est déja en route en Californie.
<http://yro.slashdot.org/article.pl?sid/11/10/0024259&tid#3&tid>

Le Fri, 11 Nov 2005 09:27:05 +0000, Xavier Roche a écrit :

Eric Razny wrote:

Et le code est effectivement hostile car il permet à un maladroit de
laisser la main sur sa machine plus facilement :
http://www.sophos.com/pressoffice/news/articles/2005/11/stinxe.html
Reste à espérer (sic) que ça va se produire chez un "gros" afin que la
somme récupérable au civil soit suffisament importante pour déclancher
un procès :-/

Une class action est déja en route en Californie.
<http://yro.slashdot.org/article.pl?sid/11/10/0024259&tid#3&tid>

Certes, mais je parlais de chez nous. Et chez nous il n'y a pas de
dommages et intérêts punitifs, mais une réparation du préjudice. Donc
il faut que le préjudice soit important (ou que la victime ait du temps
et éventuellement des moyens) pour que le procès soit "interressant".


Eric.