Pas encore sorti et déjà piraté : Windows XP connaît un véritable succès d’estime auprès des hackers...
En une semaine, Windows XP a été victime de deux déconvenues. La première ne vient pas directement de Microsoft, mais de Conxion, un hébergeur partenaire. La seconde concerne le WPA, le système de protection qui doit accompagner la prochaine version de Windows.
En effet, Microsoft propose "généreusement", depuis quelques jours, à 100 000 personnes, de tester une version quasi définitive de Windows XP. En fait, contre la modique somme de 75 francs, les bénévoles ont le droit de passer plusieurs heures à télécharger le système d’exploitation (ils doivent débourser 120 francs pour le recevoir sur CD), puis de passer autant de temps qu’ils le souhaitent à en essuyer les bugs. Chaque plantage donnant lieu à un rapport envoyé à Microsoft. 100 000 bêta-testeurs qui payent pour améliorer le produit qu’ils vont acheter ensuite au prix fort... Même Bill Gates ne doit pas y croire.
Microsoft trop souple ?
Les versions bêta étaient stockées chez Conxion, l’hebergeur américain mandaté par Microsoft pour gérer les téléchargements (payants, rappelons-le) de Windows XP Release Candidate 1 (RC1, une des dernières versions avant la version commerciale). Mais une malheureuse brèche de sécurité dans les serveurs a permis à des utilisateurs d’obtenir le système d’exploitation (OS) sans payer. Conxion, qui n’a pas indiqué le nombre de téléchargements illégaux, se rassurait en croyant avoir joué un bon tour aux pirates en herbe : sans la clef fournie aux testeurs payants, impossible d’activer Windows XP. Pas de soucis donc. L’arroseur venait d’être arrosé. Mais c’est là que survient la deuxième déconvenue. Le fameux système d’activation produit (WPA), censé protéger les nouveaux produits Microsoft contre les copies illégales, a été "décortiqué" par un site allemand, TecChannel, qui explique comment passer outre.
Selon ce dernier, en écrasant le fichier wpa.dbl on pourrait contourner le système de protection de Microsoft. Pour rentrer dans les détails, WPA prend en compte dix variables matérielles, relevées sur l’ordinateur de l’utilisateur. Mais pour ne pas pénaliser ceux qui changent régulièrement leur configuration, Microsoft a laissé une marge de manœuvre. Jusqu’à trois composants peuvent être changé sans qu’il faille réactiver Windows XP. Après un certain laps de temps (Microsoft ne précise pas lequel), cette limitation est même levée. Et c’est cette (relative) souplesse qui permet de se jouer du système de protection.
Microsoft achève son système de protection
TecChannel pronostique, d’ailleurs, que fleuriront bientôt sur Internet les fichiers wpa.dbl. Charge à vous de trouver celui qui s’approche le plus de votre configuration, à trois éléments près, et de le mettre à la place du wpa.dbl d’origine. Sachant, rajoute le site allemand, que certaines variables sont modifiables directement sur l’ordinateur, la bidouille est à portée de (presque) tous. Cité par The Register, Alan Nieman, qui a lancé le projet WPA chez Microsoft, explique que le système n’a pas été cracké, mais a été dupé. Ce qui est vrai, certes, mais qui ne change pas grand-chose à l’affaire. En décryptant la méthode de TecChannel, The Register note néanmoins que la méthode utilisée pour flouer le WPA sur l’adressage unique de la carte réseau (une des 10 variables) comportait quelques faiblesses. Mais Microsoft, dans un élan de générosité - sûrement incontrôlé - annonçait dans le même temps que le nombre de variables matérielles modifiables passait de 3 à 4. Fini donc les problèmes de cartes réseau, Microsoft venait d’achever le WPA.