Le système de gestion des droits numériques (DRM) de Microsoft ne pourra bientôt plus servir de porte d'entrée aux publicités sauvages et aux logiciels espions. Le magazine américain PCWorld révélait le problème au début du mois de janvier, en citant le cas d'un utilisateur piégé par des fichiers audio au format WMA de Microsoft.

L'éditeur d'antivirus Panda Software tirait à son tour la sonnette d'alarme, il y a quelques jours, et confirmait la circulation sur les réseaux de peer-to-peer de fichiers audio et vidéo infectés. Au passage, la société signalait l'ironie de cette affaire qui concerne le piratage du système anti-piratage de Microsoft.

L'éditeur n'a pas tardé à réagir et à promettre publiquement une actualisation de son lecteur Windows Media Player (versions 9 et 10), dans les prochains jours.

Pas question pour autant de reconnaître une faille de sécurité dans son logiciel. «  Il n'y a pas de bug dans le système de gestion des licences de notre player , assure Nicolas Mirail, l'un des porte-parole de Microsoft France. La mesure que nous prenons est préventive et consiste à permettre à l'utilisateur de mieux contrôler le téléchargement d'une licence chaque fois qu'il veut obtenir un fichier protégé.  » C'est en effet à ce moment-là que des logiciels indésirables peuvent s'installer sur le PC.

Le système de gestion des droits numériques de Microsoft prévoit la possibilité d'indiquer dans les fichiers audio et vidéo l'adresse d'un serveur de licences. Ce sont ces licences qui permettent aux éditeurs de contrôler l'utilisation de la musique et des vidéos qu'ils vendent sur le Net : le nombre d'écoutes autorisées, la durée de vie des fichiers, la possibilité de les copier, etc. Or, lors de ce transfert, le dispositif prévoit aussi l'affichage d'une fenêtre pop-up, par exemple pour afficher de la publicité. Les pirates se servent de cette fonction pour détourner les internautes vers des pages Web piégées, à partir desquelles seront téléchargés des logiciels malveillants.

En théorie, un simple logiciel anti pop-up, comme celui fourni avec le SP2, élimine tout risque. «  Ce n'est pas aussi simple , prévient Nicolas Mirail. Il suffit que la page Web contienne un composant, un activeX par exemple, pour contourner l'action de l'anti pop-up.  »

L'éditeur invite ainsi les internautes à faire preuve de prudence. La future mise à jour de Windows Media Player leur permettra de vérifier si les serveurs de licences sont dignes de confiance : avant la connexion, une boîte de dialogue s'affichera avec l'adresse du serveur. Si cette dernière n'est pas explicite, il faudra refuser le téléchargement. Certes, la méthode est un peu brutale et risque de dérouter les néophytes. Ceux-là auront tout intérêt à éviter les réseaux de P2P où risquent de pulluler les fichiers vérolés.