Surveillants privateurs

Le logiciel non libre (privateur) est très souvent malveillant (conçu pour maltraiter les utilisateurs). Il est contrôlé par ses développeurs, ce qui les met en position de pouvoir vis-à-vis des utilisateurs ; c’est l’injustice de base. Les développeurs exercent souvent ce pouvoir au détriment des utilisateurs qu’ils devraient servir.

Ce document tente de recenser les cas clairement établis de logiciels privateurs espionnant l’utilisateur ou le suivant à la trace.

Autres exemples de malveillance dans le logiciel privateur

Introduction

Depuis des décennies, le mouvement du logiciel libre dénonce le dispositif de flicage mis en place par des éditeurs de logiciel privateur comme Microsoft et Apple. Les années récentes ont vu cette tendance à observer les gens gagner l’ensemble de l’industrie, non seulement du logiciel mais aussi du matériel. En outre, elle s’est propagée de façon spectaculaire du clavier d’ordinateur à l’informatique mobile, au bureau, à la maison, aux systèmes de transport et à l’école.

Agrégat ou données anonymisées

Beaucoup d’entreprises ont des clauses de confidentialité où elles prétendent partager avec des tiers des informations sans caractère personnel. Ces prétentions sont sans valeur, pour plusieurs raisons :

  • Elles peuvent changer de politique n’importe quand.
  • Elles peuvent jouer sur les mots et distribuer un « agrégat » de données « anonymisées » pouvant être identifiées de nouveau et attribuées individuellement à des personnes.
  • Les données brutes qu’elles ne distribuent pas normalement peuvent être dérobées par effraction de la banque de donnée.
  • Les données brutes qu’ils ne distribuent pas normalement peuvent être exigées par un tribunal, sur injonction.

Par conséquent, nous ne devons pas nous laisser distraire par les déclarations de ces entreprises sur ce qu’elles vont faire avec les données qu’elles recueillent. Leur tort principal est de les recueillir.

Ajouts récents

Les ajouts récents se trouvent au début de chaque catégorie

Espions dans les systèmes d’exploitation

(#OSSpyware)

Windows

(#SpywareInWindows)

Le flicage des utilisateurs par Microsoft n’a pas commencé avec Windows 10. Il y a bien d’autres logiciels Microsoft malveillants.

MacOS

(#SpywareInMacOS)

Il y a bien d’autres espions dans les iTrucs, et bien d’autres logiciels Apple malveillants.

Android

(#SpywareInAndroid)

  • Un article de recherche a étudié 283 applis VPN pour Android du point de vue de la confidentialité et de la sécurité. Voici sa conclusion : « En dépit des promesses de confidentialité, de sécurité et d’anonymat faites par la plupart des applis VPN, des millions d’utilisateurs peuvent être victimes à leur insu des garanties de sécurité fallacieuses et des pratiques abusives que ces applis leur infligent. »La liste suivante, non exhaustive, est tirée de cet article. Elle répertorie des applis VPN privatrices qui traquent les utilisateurs et portent atteinte à leur vie privée.
    SurfEasy
    Comprend des bibliothèques comme NativeX et Appflood, destinées à pister l’utilisateur et à lui envoyer des pubs ciblées.
    sFly Network Booster
    Demande les permissions READ_SMS et SEND_SMS lors de l’installation, ce qui veut dire qu’il a un accès complet aux textos de l’utilisateur.
    DroidVPN and TigerVPN
    Demande la permission READ_LOGS pour lire les journaux des autres applis, et aussi ceux du système. Les développeurs de TigerVPN l’ont confirmé.
    HideMyAss
    Envoie du trafic à LinkedIn. De plus, cette appli conserve des journaux détaillés et peut les transmettre au gouvernement britannique sur sa demande.
    VPN Services HotspotShield
    Injecte du code JavaScript dans les pages HTML renvoyées aux utilisateurs. Le but avoué de cette injection est d’afficher des pubs. Cette appli utilise 5 bibliothèques de traçage environ. En outre, elle redirige le trafic de l’utilisateur par valueclick.com (un site de publicité).
    WiFi Protector VPN
    Injecte du code JavaScript dans les pages HTML et utilise également 5 bibliothèques de traçage. Ses développeurs ont confirmé que l’injection de JavaScript par la version gratuite de l’appli sert au traçage et à l’affichage de pubs.
  • Une étude de 2015 a trouvé que 90% des applis Android gratuites et privatrices les mieux classées contenaient des bibliothèques de pistage. Pour les applis privatrices payantes, la proportion était de 60%.Cet article prête à confusion car il décrit les applis gratuites comme « libres » [free] alors que la plupart ne sont pas du logiciel libre. De plus, il utilise le vilain mot « monétiser ». On peut avantageusement remplacer ce verbe par « exploiter » ; cela conviendra presque toujours parfaitement.
  • Les applis du réseau express régional de San Francisco (BART) espionnent les utilisateurs.Avec des applis libres, les utilisateurs pourraient s’assurer qu’elles ne les espionnent pas.Avec des applis privatrices, on peut seulement espérer qu’elles ne le font pas.
  • Une étude a découvert 234 applis Android qui traquent les utilisateurs en écoutant les ultrasons émis par des balises placées dans certains magasins, ou par des programmes de télévision.
  • Il peut y avoir collusion entre des paires d’applis Android pour transmettre les données personnelles des utilisateurs à des serveurs. Une étude a trouvé des dizaines de milliers d’applis qui sont dans ce cas.
  • Google Play envoie intentionnellement aux développeurs d’applis les données personnelles des utilisateurs qui les installent.Une simple demande de « consentement » ne suffit pas à légitimer des actions de cette sorte. Les utilisateurs ont depuis longtemps cessé de lire les « conditions d’utilisation » qui spécifient à quoi ils « consentent ». Google doit identifier clairement et honnêtement les renseignements qu’elle collecte à propos des utilisateurs au lieu de les cacher dans des CLUF absconses.Cependant, pour protéger réellement la vie privée des gens, nous devons en premier lieu empêcher Google et les autres sociétés de récupérer cette information personnelle.
  • Google Play (un composant d’Android) suit tous les mouvements de l’utilisateur sans sa permission.Il n’est pas suffisant de désactiver Google Maps et la géolocalisation pour éviter cette traque ; il faut désactiver complètement Google Play. Voilà encore un exemple de logiciel non libre qui, soi-disant, obéit à l’utilisateur, mais en réalité fait tout autre chose. Ce genre de comportement serait à peu près inimaginable avec du logiciel libre.
  • Les applis les plus populaires pour Android, dans une proportion supérieure à 73%, partagent certaines données personnelles, comportementales ou de géolocalisation de leurs utilisateurs avec des tiers.
  • Des « communications énigmatiques » n’ayant rien à voir avec la fonctionnalité de l’appli ont été découvertes dans les 500 applis gratuites pour Android les plus populaires.Cet article n’aurait pas dû décrire ces applis comme free – ce ne sont pas des logiciels libres [free software]1. Pour être clair en anglais lorsqu’on parle de « coût nul », il faut dire gratis.L’article considère comme acquis que les outils analytiques habituels sont légitimes, mais est-ce valide ? Les développeurs n’ont pas le droit d’analyser ce que font les utilisateurs et comment ils le font. L’espionnage par des outils d’« analyse » est tout aussi répréhensible que par n’importe quel autre moyen.
  • les applis Android gratuites (mais non libres) se connectent en moyenne à une centaine d’URL spécialisées dans le pistage ou la publicité.
  • Des logiciels espions sont présents dans certains appareils sous Android au moment de l’achat. Dans certains téléphones Motorola, Android a été modifié de manière à communiquer des données personnelles au fabricant.
  • Certains fabricants ajoutent un logiciel de surveillance cachée tous azimuts comme Carrier IQ.
  • La porte dérobée de Samsung permet l’accès à n’importe quel fichier du système.

Espions dans les mobiles

(#SpywareOnMobiles)

Téléphones

(#SpywareInTelephones)

Applications mobiles

(#SpywareInMobileApps)

Jouets

(#SpywareInToys)

Espions dans les montres « intelligentes »

(#SpywareOnSmartWatches)

Espions de bas-niveau

(#SpywareAtLowLevel)

Espions sur le lieu de travail

(#SpywareAtWork)

Skype

(#SpywareInSkype)

Espions sur la route

(#SpywareOnTheRoad)

Appareils photo et caméras

(#SpywareInCameras)

  • Tout système domotique de « vidéoprotection » peut servir à la surveillance dès lors que son fabricant peut communiquer avec lui. La caméra Canary en est un exemple.Cet article décrit des méfaits commis par le fabricant, basés sur le fait que le fonctionnement de l’appareil dépend d’un serveur.(Autres exemples de logiciels privateurs dépendant d’un serveur)Mais cela démontre également que l’appareil donne à cette entreprise des moyens de surveillance.
  • La caméra « intelligente » Nest Cam regarde en permanence, même quand son « propriétaire » la met sur « arrêt ».Un appareil « intelligent » est un appareil dont le fabricant se sert pour jouer au plus malin avec vous.

Véhicules

(#SpywareInVehicles)

  • Les voitures informatisées avec des logiciels non libres sont des instruments d’espionnage.
  • La « Leaf » de Nissan a un modem de téléphonie mobile intégré qui permet à n’importe qui d’accéder à distance à ses ordinateurs et de changer différents réglages.C’est facile parce que le système n’a pas d’authentification quand on y accède par modem. Cependant, même s’il demandait une authentification, vous ne pourriez jamais être sûr que Nissan n’y aurait pas accès. Le logiciel de la voiture est propriétaire, ce qui signifie qu’il exige de ses utilisateurs une confiance aveugle.Même si personne ne se connecte à distance à la voiture, le modem de téléphonie mobile permet à l’opérateur de tracer en permanence les déplacement de la voiture ; il est toutefois possible de l’enlever physiquement.
  • Dans certaines voitures, un logiciel privateur enregistre l’information concernant les mouvements des conducteurs, information qui est mise à disposition des constructeurs automobiles et des compagnies d’assurance, entre autres.Dans le cas des systèmes de péage mentionnés dans l’article ci-dessus, il ne s’agit pas vraiment de surveillance par du logiciel privateur. Ces systèmes constituent une invasion intolérable de la vie privée et devraient être remplacés par des systèmes de paiement anonyme, mais cette invasion n’est pas le fait d’un logiciel malveillant. Dans les autres cas mentionnés, le responsable est bien un logiciel malveillant privateur présent dans la voiture
  • Les véhicules Tesla permettent à cette société d’extraire des données à distance et de localiser la voiture à chaque instant (voir la section 2, paragraphes b et c de l’article en lien). La société dit qu’elle ne conserve pas cette information, mais déclare que si l’État lui donne l’ordre de récupérer ces données et de les lui transmettre, l’État peut les conserver.

Espions à la maison

(#SpywareAtHome)

Téléviseurs

(#SpywareInTVSets)

L’humoriste américain Emo Phillips racontait l’histoire suivante : « L’autre jour une dame m’a abordé pour me dire “Est-ce que je ne vous ai pas déjà vu à la télévision ?” J’ai répondu “Je ne sais pas, on ne peut pas voir dans l’autre sens.” » À l’évidence, c’était avant qu’Amazon ne sorte ses téléviseurs « intelligents » ou « connectés ».

Espions dans les jeux

(#SpywareInGames)

Espions pendant les loisirs

(#SpywareAtRecreation)

  • Des utilisateurs sont en train d’attaquer Bose en justice pour avoir distribué une appli espionne en complément de ses écouteurs. Plus précisément, l’appli enregistrait les noms des fichiers musicaux écoutés, ainsi que le numéro de série unique de l’appareil.On reproche à Bose d’avoir fait cela sans le consentement des utilisateurs. Est-ce que ce serait devenu acceptable si les clauses en petits caractères de l’appli avaient dit que l’utilisateur donnait son accord ? Jamais de la vie ! Dès le départ, il aurait dû être illégal de concevoir cette appli pour espionner.

Espions sur le web

(#SpywareOnTheWeb)

Beaucoup de sites web espionnent leurs visiteurs. Les sites web ne sont pas des programmes, aussi n’est-il pas pertinent de les qualifier de « libres » ou de « privateurs » (propriétaires), mais ce flicage constitue malgré tout un abus.

Chrome

(#SpywareInChrome)

Flash

(#SpywareInFlash)

Une autre méthode de profilage fait usage de code JavaScript.

Espions dans les drones

(#SpywareInDrones)

  • Pendant que vous utilisez un drone DJI pour espionner d’autres personnes, le DJI est dans la plupart des cas en train de vous espionner.

Espions partout

(#SpywareEverywhere)

Espions dans la réalité virtuelle

(#SpywareInVR)

  • L’équipement de réalité virtuelle, en mesurant chaque petit mouvement, rend possible la plus intime des surveillances. Pour réaliser ce potentiel il suffit d’un logiciel aussi malveillant que beaucoup de ceux que cette page répertorie.On peut parier que Facebook va mettre en œuvre le maximum de surveillance avec ses appareils Oculus Rift. La morale est qu’on ne doit pas faire confiance à un système de réalité virtuelle contenant du logiciel non libre.

Notes de traduction

  1. Free veut dire « libre », mais aussi « gratuit ». 
  2. Commission fédérale du commerce. 

 


SOURCE @ https://www.gnu.org/proprietary/proprietary-surveillance.fr.html

« Notre mission est de préserver, protéger et promouvoir la liberté d’utiliser, étudier, copier, modifier et redistribuer les programmes informatiques, et de défendre les droits des utilisateurs de logiciel libre. »

Copyright © 2015, 2016, 2017 Free Software Foundation, Inc.

Cette page peut être utilisée suivant les conditions de la licence Creative Commons attribution, pas de modification, 4.0 internationale (CC BY-ND 4.0).

Traduction : Thérèse Godefroy
Révision : trad-gnu@april.org

Dernière mise à jour : $Date: 2017/10/13 15:29:17 $

 

%d blogueurs aiment cette page :
search previous next tag category expand menu location phone mail time cart zoom edit close