[Traduit de l'anglais]

Le logiciel privateur est souvent malveillant

On appelle logiciel privateur, ou logiciel non libre, un logiciel qui ne respecte pas la liberté des utilisateurs et leur communauté. Un programme privateur met son développeur ou son propriétaire en position d'exercer un pouvoir sur les utilisateurs. Ce pouvoir est en soi une injustice.

Cette page vous montrera par des exemples que cette injustice première conduit souvent à d'autres injustices : les fonctionnalités malveillantes.

Le pouvoir corrompt ; le développeur du programme privateur est tenté de concevoir ce dernier de telle sorte qu'il fasse du tort aux utilisateurs (un programme de ce type est appelé malware, ou logiciel malveillant). Bien sûr, le développeur ne fait généralement pas cela par méchanceté, mais plutôt pour faire du profit sur le dos des utilisateurs. Cela ne rend pas cet état de fait moins mauvais ni plus légitime.

Succomber à cette tentation devient de plus en plus fréquent ; c'est pratique courante de nos jours. Un logiciel privateur moderne est typiquement une occasion de se faire piéger, malmener, harceler ou arnaquer.

Les services en ligne ne sont pas des logiciels publiés, mais par ses mauvais côtés l'utilisation d'un service est équivalente à celle d'un logiciel publié. En particulier, un service peut être conçu pour maltraiter l'utilisateur ; beaucoup le font. Cependant, nous ne présentons pas ici d'exemples de desservices, pour deux raisons. D'une part, un service (malveillant ou non) n'est pas un programme installable et les utilisateurs n'ont aucun moyen de le modifier. D'autre part, il est si évident qu'un service peut maltraiter les utilisateurs si son propriétaire le souhaite que nous n'avons pas vraiment besoin de le prouver.

Toutefois, la plupart des services en ligne obligent l'utilisateur à faire tourner une appli non libre. L'appli est un logiciel publié, par conséquent nous répertorions les fonctionnalités malveillantes de ces applis. Comme le service impose son mauvais traitement à l'utilisateur par le biais de l'appli, nous mentionnons également ces mauvais traitements, mais nous essayons de différencier explicitement ce que fait l'appli de ce que fait le desservice.

Lorsqu'un site web donne accès à un service, il est très probable qu'il envoie au navigateur de l'utilisateur un logiciel JavaScript qui s'y exécute. Ce code JavaScript est un logiciel publié et il est moralement équivalent aux autres applis non libres. S'il fait des choses malveillantes, nous voulons les mentionner ici.

Lorsque nous parlons des téléphones mobiles, nous signalons une autre particularité malveillante, la géolocalisation, qui est inhérente aux communications hertziennes plutôt qu'aux logiciels contenus dans les téléphones.

En novembre 2024, les pages de ce répertoire dénombraient à peu près 600 cas de fonctionnalités malveillantes (appuyés par plus de 720 références), mais il y en a sûrement des milliers d'autres dont nous ne savons rien.

En principe, nous devrions signaler chaque cas. Si vous rencontrez un cas non répertorié, veuillez écrire à <webmasters@gnu.org> pour nous le signaler, en vous référant à un article fiable décrivant clairement le comportement malveillant dont il s'agit. Nous n'ajouterons cet exemple qu'avec un lien vers de la documentation.

Si vous voulez être informé des nouvelles rubriques ou autres changements, abonnez-vous à la liste de diffusion <www-malware-commits@gnu.org>.

Injustices ou techniques Produits ou sociétés
  1. Porte dérobée :  toute fonctionnalité d'un programme qui permet à un tiers n'ayant pas, en principe, le contrôle de l'ordinateur sur lequel il est installé de lui envoyer des commandes.
  2. Gestion numérique des restrictions ou « DRM » :  fonctionnalités conçues pour limiter ce que les utilisateurs peuvent faire avec leurs ordinateurs.
  3. Prison :  système qui impose une censure aux programmes d'application.
  4. Ancrage :  nécessité d'une connexion fréquente ou permanente à un serveur.
  5. Tyrannie :  rejet de tout système d'exploitation non « autorisé » par le fabricant.

Les utilisateurs de logiciel privateur sont sans défense contre ces formes d'abus. La seule manière de les éviter est d'exiger du logiciel libre (respectueux de la liberté). Ses utilisateurs ont d'assez bons moyens de se défendre contre les fonctionnalités malveillantes puisque ce sont eux qui le contrôlent.

Ajouts récents

  • 2023-06

    Eclypsium a découvert une porte dérobée universelle dans de nombreux ordinateurs utilisant des cartes-mères Gigabyte. Cette entreprise avait conçu leur micrologiciel de telle sorte qu'il puisse ajouter à Windows un programme capable de télécharger d'Internet des logiciels supplémentaires et de les exécuter dans le dos de l'utilisateur.

    Et pour comble, le programme de la porte dérobée était mal sécurisé et donnait aux pirates informatiques le moyen d'exécuter leurs propres programmes sur les systèmes concernés, toujours dans le dos de l'utilisateur. La « solution » de Gigabyte a été de s'assurer que la porte dérobée n'exécuterait que des programmes de Gigabyte.

    Eclypsium mentionne bien un problème de « comportement non désiré dans le micrologiciel officiel », mais ne semble pas reconnaître que la seule vraie solution est de libérer le micrologiciel pour que les utilisateurs puissent corriger ces failles sans avoir besoin de s'en remettre au fournisseur.

    Le logiciel non libre ne sécurise pas votre ordinateur. Bien au contraire, il vous empêche d'essayer de le sécuriser. Quand des programmes non libres sont nécessaires et qu'ils sont impossibles à remplacer, ils constituent de fait des rootkits de bas niveau. Tout ce que fait l'industrie pour contrer vos essais d'échapper à son pouvoir protège également les rootkits infectant le micrologiciel.

    Au lieu de permettre à Intel, AMD, Apple et peut-être ARM d'imposer la sécurité par la tyrannie, nous devons exiger des lois qui les obligent à laisser les utilisateurs installer le logiciel de démarrage de leur choix et à rendre disponible l'information nécessaire à son développement – une sorte de droit de réparer au niveau de l'initialisation.

  • 2025-01

    Google impose Gemini, son générateur de conneries, à de nombreux utilisateurs de Gmail sans leur demander leur avis, ni même leur proposer un moyen de le désactiver.

    Les responsables informatiques des entreprises dont les collaborateurs sont forcés d'utiliser Gmail peuvent faire désactiver Gemini après des démarches laborieuses suivies d'une attente interminable. C'est le pire des dark patterns.

  • 2024-09

    Les voitures Kia étaient construites avec une porte dérobée qui permettait au serveur du constructeur de les localiser et d'en prendre le contrôle. Le propriétaire de la voiture avait accès à ces contrôles via le serveur de Kia. Ceci, en soi, n'est pas choquant. Cependant, le fait que l'entreprise y avait également accès est orwellien et devrait être illégal. Cerise sur ce gâteau orwellien, le serveur avait une faille de sécurité qui permettait à absolument n'importe qui d'activer ces contrôles pour n'importe quelle voiture Kia.

    Beaucoup de gens s'indigneront de ce bogue de sécurité, mais c'était vraisemblablement un accident. Ce qui nous indigne en revanche, c'est que Kia ait eu un tel contrôle sur les voitures après les avoir vendues à des clients, et ceci intentionnellement.

  • 2024-11

    Les applis de rencontre exploitent leurs utilisateurs ; leurs fonctionnalités de base exigent un abonnement onéreux et elles sont conçues pour être addictives.

  • 2023-09

    BMW a fait marche arrière sur l'exigence d'un abonnement pour l'activation des sièges chauffants.

    Les clients l'ont rejeté. Bravo !

    À la place, BMW projette de vendre des services et desservices numériques par abonnement, ces choses étant associées au pistage orwellien qui est le fait de toute voiture « connectée ».

Voir plus…