Un CD Audio avec une protection/rootkit pour Mac

Récemment, j’ai trouvé un CD avec une protection étonnante, qui doit en théorie fonctionner sous Mac OS X.

J’avais déjà parlé des protections des CD, plus ou moins efficaces (plutôt moins que plus), mais ici, le CD d’Imogen Heap (Speak For Yourself) contient de l’audio et une session de données, et cette dernière contient un programme capable d’attaquer Mac OS X.

Le CD

Un rootkit ?

Le CD contient en fait la protection MediaMax CD-3, compatible Mac OS X. Bon, comme Mac OS X n’exécute pas le contenu d’un CD directement, la société ruse un peu : la racine de la session de données contient un fichier Start.app, uniquement compatible avec Mac OS X et les PowerPC, qui affiche un contrat mal traduit (décommandez…) et qui ne fait qu’une chose : demander le mot de passe administrateur pour installer deux extensions (kexts). Il s’agit de PhoenixNub1.kext et PhoenixNub2.kext. De ce que j’ai vu, MediaMax CD-3 est considéré comme une protection contre la copie mais aussi comme un rootkit par certains, c’est-à-dire un programme qui permet d’effectuer des choses sans que l’OS le remarque (en gros).

Une traduction perfectible

Comment ça marche ?

J’ai donc testé. Sous macOS (Sierra), aucun souci : le CD fonctionne et le programme ne peut pas se lancer, code PowerPC oblige. Sous Snow Leopard (machine virtuelle), le CD s’importe de la même façon. Le programme se lance bien et installe des extensions, mais sans effet : les fichiers ne contiennent que du code PowerPC. Dans une machine PowerPC (G5 sous Tiger), le CD s’importe aussi sans soucis. Là, le programme se lance, affiche son message et quitte immédiatement après avoir installé ses deux fichiers. Après un redémarrage, pourtant, le kext n’est pas chargé. J’ai dû réparer les autorisations pour qu’il se lance. Et même comme ça, il ne semble rien faire : l’import fonctionne avec iTunes de la même façon qu’avant, il ne bloque rien.

Le kext chargé

Je n’ai pas trouvé ce que font les deux fichiers, mais le programme pour Mac OS X contient quelques autres programmes, donc un qui doit visiblement permettre de télécharger une copie numérique. Il y a aussi deux variantes des kexts. Après avoir testé, j’ai supprimé les fichiers et je n’ai rien vu de spécial. Bizarre, donc.

Un bout de programme inutile