La DRM est-elle une menace pour la sécurité informatique?
Les DRM sont nuisibles à notre sécurité. Au mieux, c'est un mal nécessaire - et ce n'est sans doute pas nécessaire et ne vaut pas la peine d'être compensé. Voici comment le DRM et les lois qui le protègent rendent nos ordinateurs moins sécurisés et criminalisant le fait de nous parler des problèmes.
DRM peut ouvrir des trous de sécurité
Gestion des droits numériques (GDN) Qu'est-ce que la GDN et pourquoi existe-t-il si c'est si mal? [MakeUseOf explique] Qu'est-ce que le DRM et pourquoi existe-t-il s'il est si mauvais? [MakeUseOf explique] Digital Rights Management est la dernière évolution de la protection contre la copie. C'est la plus grande cause de frustration des utilisateurs aujourd'hui, mais est-ce justifié? La gestion numérique des droits est-elle un mal nécessaire à l'ère numérique, ou est-ce le modèle… Read More peut être précaire. DRM est implémenté avec le logiciel, et ce logiciel nécessite des autorisations approfondies dans le système d'exploitation pour pouvoir arrêter les fonctions normales du système d'exploitation..
Le rootkit de protection contre la copie de CD Sony BMG, lancé pour la première fois en 2005, est une tempête parfaite en matière de sécurité DRM.
Le rootkit Sony est venu préinstallé sur divers CD audio. Lorsque vous insérez le CD dans votre ordinateur, le CD utilise AutoRun sous Windows pour lancer automatiquement un programme qui installe le rootkit XCP sur votre ordinateur. Ce logiciel DRM a été conçu pour interférer avec la copie ou l'extraction du CD. Le rootkit XCP a pénétré profondément dans le système d'exploitation, s'installant de manière silencieuse, ne fournissant aucun moyen de le désinstaller, consommant des ressources système excessives et risquant de provoquer un crash de l'ordinateur. Le CLUF de Sony n'a même pas mentionné ce rootkit dans les petits caractères, ce qui montre à quel point les CLUF sont inutiles. 10 clauses de CLUF ridicules que vous avez peut-être déjà acceptées. (Contrat de licence d’utilisateur final) - nous faisons tous simplement défiler vers le bas et cliquez sur "J'accepte". Les CLUF sont pleins de jargon juridique déroutant pour les rendre incompréhensibles aux… Lire la suite .
Pire encore, le rootkit XCP a ouvert des failles de sécurité sur le système. Le rootkit a masqué tous les noms de fichiers commençant par “$ sys $” à partir du système d'exploitation. Des logiciels malveillants, tels que le cheval de Troie Breplibot, ont commencé à en tirer parti pour se dissimuler et infecter plus facilement les systèmes dotés du système DRM de Sony..
Ce n'est pas un exemple isolé. En 2012, le logiciel uPlay d'Ubisoft présentait une faille de sécurité dans un plug-in de navigateur. Plugins de navigateur: l'un des plus gros problèmes de sécurité sur le Web aujourd'hui [Opinion] Les plug-ins de navigateur - l'un des plus gros problèmes de sécurité sur le Web aujourd'hui [ Opinion] Les navigateurs Web sont devenus beaucoup plus sûrs et durcis contre les attaques au fil des ans. Le gros problème de sécurité de navigateur de nos jours est les plugins de navigateur. Je ne parle pas des extensions que vous installez dans votre navigateur… Lire Plus qui permettrait aux pages Web de compromettre les ordinateurs exécutant uPlay. uPlay est obligatoire pour exécuter et authentifier les jeux Ubisoft en ligne. Ce n'était pas un rootkit - juste “très mauvais code” dans le logiciel DRM qui a ouvert grand trou.
Des lois qui protègent les DRM criminalisent la recherche sur la sécurité
Les lois qui protègent les DRM peuvent criminaliser les recherches sur la sécurité et nous empêcher de connaître les problèmes. Par exemple, aux États-Unis, la loi DMCA (Digital Millennium Copyright Act) interdit de contourner les mesures de contrôle d'accès. Qu'est-ce que la loi sur le droit d'auteur des médias numériques? Qu'est-ce que la loi sur le droit d'auteur des médias numériques? Pour en savoir plus Il existe quelques exceptions étroites pour la recherche en matière de sécurité, mais la loi criminalise de manière générale la plupart des contournements qui ne relèvent pas de ces mesures étroites. Ce sont les mêmes lois qui criminalisent le jailbreak et l'enracinement des téléphones, tablettes et autres appareils. Est-il illégal de déraciner votre Android ou de jailbreaker votre iPhone? Est-il illégal de rooter votre Android ou de jailbreaker votre iPhone? Qu'il s'agisse de rooter un téléphone Android ou de jailbreaker un iPhone, vous supprimez les restrictions que le fabricant ou l'opérateur de téléphonie mobile a placées sur l'appareil que vous possédez - mais est-ce légal? Lire la suite .
Ces lois et les menaces associées créent un environnement froid. Les chercheurs en sécurité sont invités à garder le silence sur les vulnérabilités qu'ils connaissent plutôt que de les divulguer, car leur divulgation pourrait être illégale..
C’est exactement ce qui s’est passé lors du fiasco des rootkits Sony DRM. Comme le souligne Cory Doctorow:
“… Quand on a appris que Sony BMG avait infecté des millions d'ordinateurs avec un rootkit illégal afin d'empêcher l'extraction (légale) de CD audio, les chercheurs en sécurité se sont manifestés pour révéler qu'ils connaissaient l'existence du rootkit, mais qu'ils avaient peur d'en dire plus..”
Un sondage Sophos a révélé que 98% des utilisateurs d’ordinateurs professionnels pensaient que le rootkit Sony DRM constituait une menace pour la sécurité. La loi ne devrait pas faire taire les chercheurs en sécurité qui pourraient nous informer de problèmes de sécurité aussi graves.
En raison du DMCA, il était peut-être même illégal de désinstaller le rootkit Sony de leur PC. Après tout, ce serait contourner le DRM.
DRM réduit votre contrôle sur votre propre ordinateur
Vous avez le contrôle de votre propre ordinateur - c'est le principal problème que DRM tente de résoudre. Lorsque vous vous asseyez avec un système d’exploitation pour PC à usage général, vous avez le plein contrôle de ce qui se passe sur votre PC. Cela signifie que vous pouvez violer le droit d'auteur à certains égards: enregistrer un flux vidéo Netflix, copier un CD audio ou télécharger des fichiers sans l'autorisation du détenteur des droits d'auteur..
Donner au fabricant autant de contrôle signifie que nous renonçons à la capacité de contrôler réellement nos propres appareils et de les protéger autrement. Par exemple, c’est la raison pour laquelle vous devez root sur Android pour installer de nombreux types de logiciels de sécurité - des applications de suivi de périphérique qui persistent après une réinitialisation des paramètres d’usine Votre téléphone Android a-t-il été perdu ou volé? C’est ce que vous pouvez faire si votre téléphone Android a été perdu ou volé? C’est ce que vous pouvez faire Il existe de nombreuses bonnes options pour localiser votre téléphone volé à distance, même si vous n’avez jamais rien configuré avant de perdre votre téléphone. En savoir plus, les pare-feu qui contrôlent les applications pouvant accéder au réseau Avast! Présente l'application gratuite Mobile Security pour Android 2.1+ [News] Avast! Présente l'application gratuite Mobile Security pour Android 2.1+ [Actualités] Il existe de nombreuses applications gratuites de sécurité mobile disponibles pour Android. Le marché semble être rempli à ras bord. Il est cependant difficile de dire s'ils sont dignes de confiance, car ils sont souvent développés par… Lire la suite et les gestionnaires d'autorisations Fonctionnement des autorisations pour les applications Android et pourquoi vous devez vous soucier Fonctionnement des autorisations pour les applications Android autorisations dont ils ont besoin lors de leur installation. Vous pouvez protéger votre confidentialité, votre sécurité et votre facture de téléphone portable en accordant une attention particulière aux autorisations lors de l'installation d'applications - bien que de nombreux utilisateurs… Lire la suite contrôlent ce que les applications peuvent et ne peuvent pas faire sur votre appareil. Ils ont tous besoin d’être rootés pour s’installer car ils doivent contourner les restrictions sur ce que vous pouvez et ne pouvez pas faire sur votre appareil..
Nous l'avons déjà souligné - nos appareils informatiques sont de plus en plus verrouillés Commodity Before Freedom: comment les entreprises du secteur vous piègent lentement [Opinion] Convenience avant de la liberté: comment les entreprises du secteur vous piègent lentement [Opinion] Les ordinateurs étaient autrefois sous notre contrôle. Nous pouvions utiliser tous les logiciels que nous voulions et les entreprises qui fabriquaient cet ordinateur n’avaient aucun mot à dire. Aujourd'hui, les ordinateurs sont de plus en plus verrouillés. Apple et Microsoft… Lire la suite. Cory Doctorow explique la bataille à laquelle nous sommes confrontés “La guerre à venir contre l'informatique polyvalente”:
“Aujourd'hui, nous avons des départements marketing qui disent des choses telles que “nous n'avons pas besoin d'ordinateurs, nous avons besoin d'appareils. Faites de moi un ordinateur qui n'exécute pas tous les programmes, mais uniquement un programme qui effectue cette tâche spécialisée, comme le streaming audio, le routage de paquets ou la lecture de jeux Xbox, et assurez-vous qu'il n'exécute pas de programmes que je n'ai pas autorisés. pourrait miner nos profits.”
…
Nous ne savons pas comment construire un ordinateur polyvalent capable d'exécuter n'importe quel programme sauf pour certains programmes que nous n'aimons pas, la loi l’interdit ou qui nous fait perdre de l’argent. L’approximation la plus proche est un ordinateur avec un logiciel espion: un ordinateur sur lequel des parties distantes établissent des politiques à l’insu de l’utilisateur de l’ordinateur ou contre l’objection du propriétaire de l’ordinateur. La gestion des droits numériques converge toujours sur les logiciels malveillants.”
Let's face it - DRM est nocif. Pire encore, la copie ne s’arrête pas réellement - il suffit de regarder tous les téléchargements de fichiers non autorisés en cours. Nous devons reconnaître les problèmes et comprendre que l’utilisation de la gestion numérique des droits présente des inconvénients. Si nous allons utiliser DRM, nous devrions au moins protéger les chercheurs en sécurité afin qu'ils puissent nous dire quand nous utilisons un logiciel DRM qui met nos PC en danger!
Crédit d'image: YayAdrian sur Flickr, Ian Muttoo sur Flickr, Lordcolus sur Flickr, Shutterstock
En savoir plus sur: la gestion des droits numériques, la sécurité en ligne, Sony.