À deux reprises, Sony a été confronté à la présence masquée de rootkits dans ses produits : dans ses clés usb biométriques et dans son composant de gestion numérique des droits (DRM), nommé « XCP » (pour « Extended Copy Protection »), présent sur 52 CD audio (dont certains de Céline Dion et de Sarah McLachlan). L'entreprise cherchait à réduire le nombre de copies illégales de ses disques en limitant le droit de copie et en traçant la circulation des CD par internet.
Le kit XCP, présent sur 4 millions de CD produits en 2005, est parfois instable et possède lui-même des failles qui peuvent être exploitées, permettant notamment de tricher sous World of Warcraft, ou de créer un virus l'utilisant. Par contre, XCP peut être facilement déjoué en maquillant la deuxième piste du CD : la piste n'étant plus lisible, le rootkit ne peut pas s'activer. De plus, il ne fonctionne que sur les systèmes d'exploitation de type Windows.
XCP se connecte régulièrement aux serveurs de Sony pour envoyer l'identifiant du disque audio que l'utilisateur écoute. Il empêche la lecture du CD par un autre logiciel que celui fourni par Sony, et limite le nombre de copie (gravure et rip) du disque. Une analyse du groupe Gartner montre que XCP se comporte comme un logiciel malveillant sur plusieurs points : téléchargements cachés, informations concernant sur son fonctionnement cachées dans la licence d'utilisation, absence d'utilitaire de désinstallation et envoi obligatoire d'un mail contenant des informations personnelles et sur le système pour en recevoir un, envoi de certaines informations à des serveur de Sony sans information préalable à l'utilisateur. Gartner met en avant le cas XCP pour montrer que ce type de DRM n'est pas à envisager par une entreprise car il est inefficace, illégale sous certains aspects et dommageable pour le client. Il apparaît aussi que XCP se base sur des logiciels libres sans en respecter la licence, c'est à dire en redistribuant le code source produit : il utilise les code source de DVD Jon.
Au final, XCP était présent sur un nombre limité de CD et son impact sur la contrefaçon n'a pas été évalué. Ces affaires ont fait un tort important à Sony, qui a fini par abandonner ces logiciels, aussi bien pour sa respectabilité que financièrement. Dans plusieurs pays, Sony a été poursuivi en justice et obligé de reprendre les CD contenant un rootkit et de dédommager les clients. En 2007, aux États-Unis, Sony est condamné à rembourser jusqu'à 150$ par acheteur pour un total de 5,75 millions de dollars. En 2009 en allemagne, un travailleur indépendant a obtenu gain de cause en touchant 1 200€ de dommages et intérêts car le kit avait fait perdre du temps et des données à son entreprise. Pour ses rootkits, Sony a été nommé aux Big Brother Awards 2006.
Voir aussi : (en) Sony BMG CD copy protection scandal et Extended Copy Protection (XCP).
Le CERTA (Centre d'Expertise Gouvernemental de Réponse et de Traitement des Attaques informatiques de l'État français) a publié, dans une note d'information, l'analyse d'une attaque ayant permis d'installer un rootkit (non identifié, mais dont les caractéristiques semblent correspondre au rootkit « Rk »), n'utilisant à l'origine qu'une seule faille, laquelle concernait le module d'impression LPRng présents dans certains systèmes Linux (faille répertoriée CERTA-2000-AVI-087). Cette faille, qui aurait pu être corrigée soit par la mise-à-jour du système, soit par le blocage d'un port spécifique grâce à un pare-feu, permettait l'exécution à distance de code arbitraire.
Cette attaque a été menée en moins de deux minutes. L'attaquant a identifié la vulnérabilité, puis envoyé une requête spécialement formée sur le port 515 (qui était le port exposé de cette vulnérabilité) pour permettre l'exécution d'un code arbitraire à distance. Ce code, nommé « SEClpd », a permis d'ouvrir un port en écoute (tcp/3879) sur lequel le pirate est venu se connecter pour déposer une archive (nommée rk.tgz, qui contenait un rootkit) avant de la décompresser et de lancer le script d'installation.
Ce script a fermé certains services, installé des chevaux de Troie, caché des processus, envoyé un fichier contenant les mots de passe du système par mail, et il a même été jusqu'à corriger la faille qui a été exploitée, afin qu'un autre pirate ne vienne pas prendre le contrôle de la machine.
Back Orifice est un rootkit client-serveur développé à partir de 1998 par le Cult of the Dead Cow, un groupe de hackers. Il cible les ordinateurs utilisant Windows 95/98, puis NT. Le CDC revendique plusieurs centaines de milliers de téléchargements de la version de base « BO » et de la version améliorée « BO2K » en quelques semaines. Back Orifice est certainement un des rootkit qui se sont le plus répandus, même si aujourd'hui ses cibles se sont raréfiées.
L'altération de la machine cible se fait en exécutant un programme qui va se charger à chaque démarrage de la machine ; elle repose sur le fait que les systèmes d'exploitation Windows 95/98 sont particulièrement laxistes sur la sécurité : il n'y a pas de contrôle de droit d'exécution d'un programme (tout le monde peut exécuter n'importe quelle application, et même reconfigurer le système), les mots de passe sont stockés en clair, etc. Le client, utilisable sous Windows et Unix, est graphique et permet même à un non-initié de contrôler une machine infectée.
La désintallation du kit est simple : il suffit de supprimer l'exécutable résident et de retirer une clé de la base de registre. La plupart des antivirus le reconnaissent comme un virus.