D'abord, examen du fichier. On y trouver effectivement un entête vidéo, un bon DivX de base. Ensuite, du garbage, enfin en apparence, puisqu'il est raisonnable de penser qu'il s'agit en fait du contenu véritable de la vidéo, codé ou compressé selon quelque algorithme probablement propriétaire. D'ailleurs, on peut bien isoler quelque chose qui ressemble vaguement à un entête d'une dizaine d'octets commençant par ZIX, puis en queue de fichier, quelque chose comme :

d8:announce21:

Suivi de près par le nom du fichier. Ça sent bon la pure et simple encapsulation du fichier original dont on pourrait peut-être venir à bout à grands coups d'éditeur hexadécimal[1], mais je préfère d'abord me tourner vers le Web pour en savoir un peu plus, au cas où je pourrais profiter d'une éventuelle expérience en la matière. Comme disait le sage, apprendre de ses erreurs est une perte de temps, il vaut mieux apprendre de celles des autres... Et le moins que l'on puisse dire, c'est que DomPlayer a de nombreux fans. Le premier lien dans Google l'annonce sans détour : DomPlayer est une arnaque. Il faudrait appeler un numéro surtaxé pour s'acquitter des 1,5EUR et obtenir un code de déverrouillage.

On y apprend en outre que ce type de fichiers serait massivement distribué sur les réseaux P2P sous forme de fakes[2], créant quelque frustration légitime chez les utilisateurs n'ayant pas senti l'arnaque à plein nez. Sauf qu'entre-temps, la surtaxe a fait son travail et l'utilisateur a payé sa dime. Un joli business model qui consiste à créer un besoin artificiel, celui de pouvoir lire une vidéo, et d'y répondre sans attendre, en ciblant une base d'utilisateurs peu encline à se plaindre de ne pas pouvoir lire des contenus la plupart du temps acquis illégalement. Dans ce cas, la manœuvre paraît vraiment artificielle, voire stupide, mais après tout, ce n'est rien d'autre qu'une forme un peu plus pernicieuse et malhonnête de ce que la bureautique en particulier connaît depuis des lustres : la guerre des formats.

Mais les choses ne s'arrêtent pas là. Quelques liens plus loin, je tombe sur une poignées de forums où je comprends que le format utilisé par DomPlayer n'est ni plus ni moins qu'un conteneur Zix. Zix ? Oui, oui, vous avez bien lu. Pas Zip, Zix. Kesako le Zix ? Il s'agirait d'un nouvel algorithme de compression qui déchire sa maman, produit par un outil répondant au doux nom de WinZix. Lequel ne serait qu'un bon gros spyware lui aussi. Décidemment, les grands esprits se rencontrent... Winzix fait d'ailleurs l'objet d'une entrée pour le moins intéressante sur Wikipedia, laquelle a donné lieu à pas mal de discussions.

Alors comment on s'en sort avec cette vidéo ? Avec des utilitaires écrits par des gens qui ont eux aussi analysé le bestiau, tâche clairement pas herculéenne, dont la simple action sera d'extraire le contenu compris entre les entêtes que je citais précédemment en récupérant au passage le nom du fichier. On pourra citer par exemple UnWinZix avec sa belle interface en VB, unzix en ligne de commande ou, pour les unixiens, ce script Python. Comme vous le verrez en parcourant le code, le fichier n'est évidemment pas compressé le moins du monde, tout juste codé dans le format Bencode de Bittorrent. Et d'ailleurs, maintenant qu'on le sait, il suffit de regarder la description du format pour effectivement retrouver nos petits dans le conteneur Zix.

Pour la petite histoire, le fichier extrait ne contenait que du junk, manifestement généré par ces outils vendus pour, entre autres, berner les utilisateurs de réseau P2P. D'où l'idée de ne pas perdre son temps avec ce genre de contenu et de passer à autre chose.

Une petite dernière pour la route. Les domaines winzix.com et domplayer.com ont tous les deux été déposés anonymement via Domains by Proxy et utilisent le même prestaire de service DNS. Les noms winzix.com et domplayer.com pointent vers la même adresse, 69.72.144.122. Le plus drôle, c'est quand vous essayez d'accéder directement à http://domplayer.com/, ça vous amène chez Cash4downloads, société qui ne se cache pas de vendre de l'adware. Parmi leurs produits, on retrouvera le fameux Winzix et un player vidéo nommé 3wPlayer dont la réputation sur Internet n'est plus à faire, et forcément hébergé sur la même machine. L'œil aguerri remarquera les captures d'écran du logiciel qui ne sont pas sans rappeler ceux de DomPlayer. Ainsi que la CSS d'ailleurs. D'ici à affirmer qu'il s'agirait du même logiciel, il n'y a qu'un pas que je vous laisserais faire. Quand à la machine 69.72.144.122, elle héberge une tonne de sites et outils tous plus sympathiques les uns que les autres...


Alors évidemment, moi, avec mon laptop sous Debian, les spywares, je m'en cogne un peu. C'est d'ailleurs ce que pensent la plupart des gens à propos des OS et outils libres. C'est du libre, ou basé sur du libre, c'est secure, et surtout forcément libre de tout code malicieux. Enfin, c'est ce que devaient penser pas mal d'utilisateurs d'un PBX soft appelé tribox basé sur Asterisk, jusqu'à ce que quelqu'un remarque que la boîte exécutait régulièrement un script qui semble récupérer des informations sur l'usage de l'appliance et les transmettre à un serveur de l'éditeur.

La découverte génère évidemment son lot de discussions et l'éditeur semble avoir quelque mal à se justifier. D'autant plus de mal que les arguments avancés de prime abord ne sont pas franchement convaincants :

  • c'est dans la boîte depuis longtemps, donc voilà ;
  • c'est libre donc on peut le voir dans le code source ;
  • ça n'impacte pas le système ;
  • d'autres logiciels le font, et personne ne s'en plaint ;
  • etc.

Finalement, un post explicant ce qu'est cet outil de collecte d'informations, à quelles fins il est utilisé et pourquoi ils n'en ont pas parlé plus tôt sera publié. De quoi sortir son mouchoir. En fait, c'est relativement simple. Les données collectées sont données[3] aux différents sponsors dont l'argent permet de financer la version gratuite du produit. Et d'en remettre une couche sur le forum. Préparez-vous, ça va faire pleurer dans les chaumières :

We are going to fix this so that it is easy to opt out of the
program. If everyone opts out, we have no data, if we have no
data, then we lose the financial support of our partners. If
we lose the finanicial support of our partners, I lose my
funding, if I lose my funding, I lose my team. If I lose my
team we have no development on CE. This is a simple issue.

Moi ce que j'ai du mal à comprendre, c'est que si c'est aussi simple que cela, pourquoi ne pas avoir été aussi transparent dès le départ ? Mais je dois avoir l'esprit retord. Déformation professionnelle dira-t-on. En tout cas, ils semblent faire plus de cas de leurs sponsors que de leurs clients. Ce qui tendrait à vouloir dire que les premiers rapportent plus que les seconds. Un bien mauvais signe...


Enfin, courses de Noël implicant écumage de rayons, je suis tombé sur ces jouets à offrir sans plus attendre aux futures stars de la sécurité informatique. Ce réseau de petit train en bois censé illustrer le fonctionnement interne d'un ordinateur ne manque pas de nous rappeler la dure réalité...

Rapid Response Unit

Mais nous rassure quand même, parce que doté de cette Rapide Response Unit[4] qui ne manquera de venir nous nettoyer tout ça.

Rapid Response Unit

Ne manquez pas non plus la vidéo de l'anniversaire d'EMO, l'E-Mail Officer, qui vous montrera comment on se débarrasse d'une poignée de méchants virus !

Notes

[1] La suite montrera que non, malheureusement, ça ne suffit pas ici.

[2] Des vidéos qui n'ont rien à voir avec le contenu annoncé.

[3] Revendues ?

[4] Même qu'il y aurait un véhicule d'urgence antivirus !