Ce n'est certainement pas volontaire de la part de Microsoft, mais ça ouvre tout un nouveau champ d'exploration dans la lutte contre le piratage, non pas de logiciels, mais de matériels. Avec des effets potentiellement très négatifs pour les simples consommateurs qui n'y sont pour rien.
Le site Hack A Day rapporte en effet que le service Windows Update de la firme de Redmond a intégré le driver le plus récent fourni par le fabricant de puces électroniques FTDI, pour mettre automatiquement à jour les drivers des puces FT232. Ca ne vous dit probablement rien, mais il s'agit de puces extrêmement répandues dans les appareils électroniques avec port USB, présentes notamment dans les circuits Arduino, qui permettent de piloter l'interface USB. Or selon Hack A Day, ces puces font aussi partie des plus contrefaites au monde (en particulier, bien sûr, dans les copies et produits à bas prix chinois), sans que ceux qui achètent des circuits électroniques aient la moindre idée qu'ils intègrent des circuits contrefaits.
Une astuce peu protocolaire
Le protocole USB fait que chaque périphérique USB s'identifie auprès du système d'exploitation par une paire VID/PID. Le VID (Vendor ID) est un identifiant de 16 bits spécifique à chaque constructeur, qui doit utiliser le même pour tous ses produits. Et le PID (Product ID) est un identifiant du périphérique lui-même, choisi par le constructeur et déclaré par le produit. Ainsi, tous les produits avec le même VID/PID utiliseront le même driver.
Pour leurs contrefaçons, les constructeurs utilisent le VID attribué par USB.org à FTDI, et le PID attribué à la puce FT232.
Mais pour lutter contre ces contrefaçons, le constructeur a mis à jour au mois d'août dernier le pilote, qui a pour effet de reprogrammer la mémoire interne du circuit qui contient le PID. Il a exploité une faille des puces FT232 contrefaites pour leur imposer d'utiliser désormais le PID 0, qui ne peut pas être reconnu par les systèmes d'exploitation Windows, Mac ou Linux. Une fois le PID modifié pour utiliser PID 0, le périphérique ne peut plus être reconnu par l'ordinateur, et il est bon pour la casse — Hack A Day prévient qu'il est toutefois possible de corriger le PID en utilisant un outil de configuration FT232 fourni par FTDI sur un système Windows XP ou Linux, où la mise à jour n'est pas imposée, mais la puce redevient inopérante dès que l'appareil est branché sur un système à jour.
Comme le note Ars Technica, le constructeur avait assorti son driver publié au moins d'août d'une modification de ses conditions d'utilisation, pour prévenir du risque. "L'utilisation du Logiciel en tant que pilote, ou l'installation du Logiciel sur un composant qui n'est pas un composant FTDI authentique, dont les composants contrefaits, PEUT ENDOMMAGER IRREMEDIABLEMENT CE COMPOSANT", disait le contrat en grosses lettres. Mais la licence ainsi modifiée était noyée dans les fichiers de mises à jour. Et en passant par Windows Update, elle n'était plus visible du tout, sauf à être extrêmement précautionneux et à confirmer chaque mise à jour une à une, en vérifiant les licences de chaque sur les sites des constructeurs respectifs.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !