Sécurité : Microsoft ne changera pas ses DRM

[pub]]Il y a quelques jours l’actualité “sécurité” a été marquée par l’arrivée des premières attaques liées à la technologie des DRM (Digital Right Management - Gestion des droits numériques). En effet, ces derniers jours, deux nouveaux troyens ont commencé à se diffuser rapidement sur la toile. Baptisés Trj/WmvDownloader.A ou Trj/WmvDownloader.B, ces virus de type cheval de Troie, se présentent la plupart du temps sous la forme d’un fichier Windows Media Video (WMV). Lorsqu’ils sont exécutés, Windows Media Player indique qu’il doit télécharger une licence DRM (Digital Right Management) pour les lire. Mais en réalité, le lecteur multimédia de Microsoft ne va pas télécharger la moindre licence mais plutôt des malware de toutes catégories (spyware, dialer, virus, publicité intrusive …).

Microsoft a annoncé à ce propos, que le problème n’était pas lié à une faille de son logiciel Windows Media Player ou à sa technologie DRM et que par conséquent, la firme n’appliquera pas de changements au niveau des DRM et ne publiera pas de patch pour WMP. Microsoft a précisé qu’il était surtout important “d’éduquer” les utilisateurs afin qu’ils soient attentifs à ce qu’ils téléchargent et à ce qu’ils lancent sur leurs PC. Les experts en sécurité de leur côté préconisent l’utilisation d’un anti-virus et d’un anti-spyware à jour.

Lire cette news sur le site

<<Microsoft a précisé qu’il était surtout important “d’éduquer” les utilisateurs afin qu’ils soient attentifs à ce qu’ils téléchargent et à ce qu’ils lancent sur leurs PC.>>

Donc je commence l’éducation. Cessez d’utiliser ces formats propriétaires.
:smiley:

+1

Ben ils ont trouvé le truc pour ne plus avoir a se soucier des failles.
N’empêche, d’un point de vue du droit, je ne suis pas sur que ce soit légal: il y a toujours une garantie

si c’est pas une faille des RMD ou de media player c’est quoi alors ???
Quand on peut envoyer des malware via un format quel qu’il soit j’apelle ca une faille mais bon je peux me tromper…

. . .
Edité le 05/07/2011 à 00:27

Ils ont surtout peurs de se fâcher avec la RIAA qui exploite cette faille !

C’est vrai que c’est pas vraiment un “bug” mais pourquoi pas mettre en place un système de “certificats” ? (WMP de telechargerai le contenu que si le site possède le certificat “diffuseur de fichiers protégé par DRM Microsoft”) ?

une garantie pouraait tu en dire plus stp ?? Microsoft est obligé de corriger ces faille ???

bah c’est pas compliqué, selon MS achettez vos fichiers multimedia sur des sites de confiance qui les garantissent sans virus, ou demerdez vous.

c’est pas une faille de securité de Winzip que l’on puisse telecharger des virus dans les archives ZIP…

Je trouve les discours et actions menées par M$ assez contradictoire.

D’un côté M$ nous annonce qu’il met l’accent sur la sécurité pour ses OS avec un firewall dans le SP2, des outils de désinfection, des antispyware…

Et de l’autre, M$ nous laisse une faille qui exploite une faille qui télécharge des malwares

Microsoft, tu ne cercherais pas à préparer le terrain pour nous vendre ton antispyware ???

‘L’éducation des utilisateurs’ (pour reprendre les termes de M$), risque de se faire par l’utilisation de logiciels/OS alternatifs à leur dépend…

Microsoft a annoncé à ce propos, que le problème n’était pas >lié à une faille de son logiciel Windows Media Player ou à sa >technologie DRM

C’est une faille de leur conception de l’informatique !!!

ben biensur que ce n’est pas une faille … que leur système de DRM permette de télécharger et d’executer un executable quelconque ce n’est pas un problème de conception de leur système …
ce qui est génial c’est que la meilleur protection contre cette faille reste de ne pas utiliser leur format de fichier protégé … car il ne fait aucun doute que les “anti-microsoft” vont se faire un immense plaisir de diffuser en masse des virus grace à ce système

C’est pas comparable, quand tu telecharge un zip tu sais que c’et un fichier compréssé et il s’execute pas tout seul le programme zipé !! Alors que la c’et une video ou de la musique, les utilisateur ont confiance dans ce format … C’est pas vraimant une faille technique mais une belle erreur de conception

Quoi que soit cette “erreur”, MS a raison de rappeler un precept de base:
le Safe Hex !

Quelle connerie, nounours a bien raison, c’est trop facile de se défausser là … au diable les formats propriétaires !

EDIT: Pourquoi ne pas faire vérifier le contenu de la soit disant licence DRM ??? Y’a bien un moyen d’identifier une licence par rapport à un malware !???

en quoi c’est une faille stp ??

le systeme de gestion de licence te demande lorsque tu lis un fichier protegé s’il peut en telecharger la licence, tu reponds oui ou non.

si tu es sur de la provenance de ton fichier, tu fais oui ca se log sur le site d’achat te recup ta licence et ca te lis ton fichier, si tu as recup ton fichier .wmv sur emule, et qu’au lancement ca te demande de telecharger la licence et qu’a ce stade tu ne te poses toujours pas de question existancielle concernant la provenance de ton fichier et la necessitée de recuperer une licence pour lire un fichier recuperé de facon illegale… et que tu es assé futé pour cliquer sur oui… la faille est peut etre pas chez microsoft hein…

a la rigueur MS devrais rendre l’option d’acquisition automatique des licences désactivée par defaut, et faire en sorte (si ce n’est pas deja le cas) que l’adresse du site sur lequel il va aller chercher la licence s’affiche lors de la demande d’autorisation.

pour le reste la faille est plus dans l’interface chaise/clavier…

Là ce qui est grave c’est que c’est le logiciel lui même qui demande une mise à jour des DRM…Il y a bien une faille puis que WMP ne vérifie pas la source du fichier. Seul MS devrait donner des licences de ces DRM. Il faudrait ajouter une signature aux fichiers comme c’est le cas pour les maj ou fichiers sensibles (PGP par ex.).

On ne peut pas éduquer les gens s’ils sont trompés tout le temps. C’est très compliqué pour les newbies, comment savoir si tel ou tel message est réel ? Si telle maj est Ok et pas une autre. C’est impossible !

Ms doit faire son boulot ou tout le monde finira par utiliser Firefox et VLC ou autre. Ou partira sous Mac OS X, ce qui est mon cas.

Pourquoi MS ne fait pas signer les licences pour être sûr de la source ?

Voilà, c’est ce que je voulais dire avec plus de mots :oui:

la faille est dans le fait que la licence soit un fichier executable et executé et cette faille ne concerne pas que les fichiers aquis illégalement … qu’un fichier soit protegé avec DRM ne signifie pas forcement qu’il est diffusé de manière payante