Programme potentiellement indésirable
Un programme potentiellement indésirable (PPI ; aussi appelé logiciel potentiellement indésirable ou LPI ; en anglais, Potentially unwanted program ou PUP, ou bien encore Potentially unwanted application ou PUA) est un programme qu'un utilisateur peut percevoir comme indésirable. Il s'agit d'un terme utilisé par les produits de sécurité et de contrôle parental pour désigner subjectivement certains logiciels.
Un tel logiciel peut compromettre la confidentialité ou affaiblir la sécurité d'un ordinateur. Les entreprises incluent souvent dans un programme souhaité des fonctions non désirées. Lors du téléchargement d'un programme désiré, elles peuvent aussi proposer une application indésirable et, dans certains cas, sans fournir une option claire de refus de l'application indésirable.
Les entreprises antivirus définissent comme programmes potentiellement indésirables des programmes qui
- affichent de la publicité intrusive ;
- surveillent les sujets consultés sur l'Internet par l'utilisateur pour vendre cette information à des annonceurs ;
- injectent leur propre publicité dans des pages web qu'un utilisateur regarde[1],[2],[3],[4].
Ces pratiques sont largement considérées comme contraires à l'éthique parce qu'elles violent les intérêts de sécurité des utilisateurs sans leur consentement éclairé.
Un nombre croissant de projets de logiciels libres ont exprimé leur consternation à l'égard de sites web tiers qui groupent le téléchargement de leurs logiciels libres avec des programmes potentiellement indésirables, sans les informer et sans leur consentement. Presque tous les sites tiers de téléchargement gratuit font de tels groupements[5].
Les développeurs de logiciels et les experts en sécurité recommandent de toujours télécharger un logiciel du site officiel du projet, d'un intermédiaire de confiance ou d'un magasin d'applications.
Histoire
modifierDes entreprises ont commencé à bâtir leur modèle d'affaires autour de la distribution de programmes potentiellement indésirables au début des années 2000. La compagnie Zonga (en) est un exemple, très connu à l'époque, de cette pratique.
Dans les années 2010, la prolifération des programmes potentiellement indésirables a augmenté. En 2014, une étude indiquait que ces programmes représentaient 24,77 % des infections à malwares[6]. Des études de Google en 2015 et 2016 donnaient des résultats semblables[7],[8].
Quelques exemples de programmes indésirables et de leur fonctionnement
modifierSuivi de navigation et publicité ciblée
modifierDe nombreux programmes indésirables sont des extensions de navigateur web qui enregistrent les pages web visitées par un utilisateur et vendent cette information à des annonceurs ou ajoutent de la publicité ciblée dans les pages web visitées par l'utilisateur[1].
Cinq pour cent des visites de navigateur à des sites web appartenant à Google proviennent de navigateurs qui incluent des programmes qui injectent leurs propres annonces dans des pages[9],[10],[11].
Les chercheurs ont identifié 50 870 extensions de Google Chrome et 34 407 programmes qui injectent des annonces dans les pages web. Trente-huit pour cent des extensions et 17 pour cent des programmes ont été catalogués comme des logiciels malveillants, le reste étant des applications potentiellement indésirables de type adware.
Certaines compagnies ont utilisé les mises à jour automatiques de Chrome pour distribuer leurs programmes indésirables.
Google fait automatiquement la mise à jour du logiciel Chrome sur les ordinateurs des utilisateurs qui ont téléchargé le programme. Cette mise à jour est faite sans autorisation ou action préliminaire de l'utilisateur. En même temps, Google fait la mise à jour des extensions téléchargées par l'utilisateur si une nouvelle version de l'extension a été fournie par l'éditeur de l'extension. Certaines compagnies ont acheté des extensions existantes, y ont inclus leurs programmes indésirables et les ont présentés comme des mises à jour de l'extension. Ces nouvelles extensions (incluant des programmes indésirables) ont été installées automatiquement par Google sur les ordinateurs des utilisateurs qui avaient préalablement installé ces extensions.
Ces utilisateurs ne savaient pas qu'une nouvelle version de l'extension avait été installée sur leurs ordinateurs et surtout, ils ne savaient pas que l'extension contenait maintenant des programmes potentiellement indésirables[12],[13],[14].
Serveur mandataire
modifierCertains logiciels espions indésirables installent un serveur mandataire (local proxy) sur un ordinateur pour surveiller les pages web consultées par l'utilisateur, créer un profil des intérêts de l'utilisateur et vendre cette information à des annonceurs.
Superfish
modifierSuperfish est un injecteur de publicités qui crée son propre certificat racine dans un système d'exploitation, permettant au programme d'injecter de la publicité dans des résultats de recherche Google chiffrées et de suivre l'historique des requêtes de recherche d'un utilisateur.
En , le département de la Sécurité intérieure des États-Unis a conseillé de désinstaller Superfish et son certificat racine, car ils rendaient les ordinateurs vulnérables à des cyberattaques graves, y compris l'interception de mots de passe et de données sensibles transmises par les navigateurs[15],[16].
Heise Security (en) a révélé que Superfish et son certificat problématique sont inclus dans des téléchargements groupés de sociétés telles que SAY Media (en) et Ad-Aware[17].
Détournement de navigateur
modifierDes entreprises détournent des navigateurs web en modifiant leur page de démarrage et leur moteur de recherche par défaut pour diriger le trafic Internet vers des sites qui leur rapportent des revenus[18]. D'autres entreprises volent les cookies dans le navigateur d'un utilisateur, téléchargent des pages non demandées par l'utilisateur et effectuent des actions sans leur consentement (comme l'installation de programmes non demandés par l'utilisateur).
Sites tiers de téléchargement gratuit
modifierEn 2015, une recherche d'Emsisoft a mentionné que tous les sites de téléchargement gratuit groupaient leurs téléchargements avec des logiciels potentiellement indésirables et que Download.com était le pire délinquant[5]. Lowell Heddings a mentionné avec consternation que « malheureusement, même sur le moteur de recherche Google, tous les meilleurs résultats pour la plupart des logiciels libres et open source ne sont que des annonces pour des sites vraiment terribles qui groupent des adwares et des logiciels malveillants avec les logiciels désirés ».
En , Gordon Lyon, un expert en sécurité des réseaux, a publié un article mentionnant sa forte aversion pour la façon dont Download.com avait commencé à inclure des programmes potentiellement indésirables dans ses gestionnaires d'installation, et ses préoccupations concernant les impacts sur les utilisateurs. Sa sortie a été diffusée sur plusieurs blogues, dans les réseaux sociaux et dans quelques dizaines de rapports médiatiques. Le problème principal est la confusion entre les contenus proposés par Download.com et les logiciels offerts par les auteurs originaux[19],[20]. Ses accusations allaient de la tromperie à l'atteinte au droit d'auteur et à la violation de marques commerciales.
En 2014, The Register et le United States Computer Emergency Readiness Team ont averti que via les téléchargements de Download.com, un attaquant pouvait télécharger et exécuter n'importe quel code sur un ordinateur qui utilisait ce service"[21].
De nombreux développeurs de logiciels open source ont exprimé leur frustration de voir leurs logiciels groupés par des entreprises comme Sourceforge qui profitent de leur travail en payant des annonces qui occupent les premiers rangs dans les résultats des moteurs de recherche. De plus en plus, ces entreprises proposent des installateurs groupés qui incluent des logiciels indésirables et confondent les utilisateurs en se présentant comme des sites officiels de téléchargement approuvés par le projet open source.
GIMP
modifierEn , GIMP, un logiciel libre d'édition et de retouche d'images, a retiré son téléchargement de SourceForge à cause des boutons de téléchargement trompeurs qui induisaient les utilisateurs en erreur et parce que le programme d'installation de SourceForge groupait les téléchargements avec des programmes potentiellement indésirables. Dans un communiqué, GIMP a mentionné que SourceForge, qui était auparavant un « lieu utile et digne de confiance pour développer et héberger des applications FLOSS (Free/Libre Open Source Software) », faisait maintenant face à « un problème avec les annonces qu'ils autorisent sur leurs sites ...»[22].
En , le projet SourceForge GIMP pour Windows a été transféré sous la propriété du compte SourceForge Editorial Staff et les téléchargements de programmes potentiellement indésirables ont été réactivés[23]. Le même sort a été réservé aux développeurs de Nmap[24],[25].
En , SourceForge a pris le contrôle de projets qui avaient migré vers d'autres sites d'hébergement et a remplacé leurs téléchargements par des téléchargements chargés de programmes potentiellement indésirables[26].
Nmap
modifierGordon Lyon a perdu le contrôle de la page SourceForge de Nmap (un logiciel libre de balayage de ports) lorsque SourceForge a pris le contrôle de la page du projet. Il a déclaré : « Jusqu'à présent, ils semblent fournir seulement les fichiers officiels Nmap (tant que vous ne cliquez pas sur les faux boutons de téléchargement) et nous ne les avons pas pris à placer des chevaux de Troie dans Nmap comme ils le faisaient avec GIMP. Cependant, nous ne leur faisons nullement confiance ! Sourceforge se comporte de la même façon que CNET et Download.com lorsqu'ils ont commencé à errer[24],[25].
VideoLAN a exprimé sa consternation de voir que les utilisateurs recherchant ses produits reçoivent dans les résultats des moteurs de recherche des publicités de sites web qui offrent des téléchargements groupés avec des programmes indésirables, tandis qu'elle-même manque de ressources pour poursuivre les nombreuses compagnies qui abusent ainsi de leurs marques de commerce[27],[28],[29],[30],[31].
Articles connexes
modifierNotes et références
modifier- (en) « Malwarebytes Potentially Unwanted Program Criteria », Malwarebytes.
- (en) « Rating the best anti-malware solutions », Arstechnica (consulté le ).
- (en) « Threat Encyclopedia – Generic Grayware », Trend Micro (consulté le ).
- (en) « PUP Criteria », Malwarebytes (consulté le ).
- (en) « Mind the PUP: Top download portals to avoid », EMSISOFT, (consulté le ).
- (en) « 62% of the Top 50 Download.com applications bundle toolbars and other PUPs », EMSISOFT blog, .
- (en) « Google Investigation: Ad Injection Is Infesting Millions of Devices », adage.com.
- (en) « Google Research », Google.
- (en) « Ad Injection at Scale: Assessing Deceptive Advertisement Modifications ».
- (en) « Superfish injects ads into 5 percent of all Google page views », PCWorld, (consulté le ).
- (en) « Superfish injects ads in one in 25 Google page views », CIO, (consulté le ).
- (en) « Adware vendors buy Chrome Extensions to send ad- and malware-filled updates », Ars Technica (consulté le ).
- (en) « Google Removes Two Chrome Extensions Amid Ad Uproar », Wall Street Journal (consulté le ).
- (en) Bruce Schneier, « Adware Vendors Buy and Abuse Chrome Extensions », .
- (en) « U.S. government urges Lenovo customers to remove Superfish software », Reuters, (lire en ligne, consulté le ).
- (en) « Alert: Lenovo "Superfish" Adware Vulnerable to HTTPS Spoofing », United States Computer Emergency Readiness Team, (consulté le ).
- (en) « Gefährliche Adware: Mehr als ein Dutzend Anwendungen verbreiten Superfish-Zertifikat » [« Dangerous Aware: More than a Dozen Applications spreading Superfish Certificate »], Heise Security, (consulté le ).
- (en) Rudis Muiznieks, « Exploiting Android Users for Fun and Profit », The Code Word.
- (en) Brian Krebs, « Download.com Bundling Toolbars, Trojans? », Krebs on security, (consulté le ).
- (en) Gordon Lyon, « Download.com Caught Adding Malware to Nmap & Other Software », (consulté le ) : « we suggest avoiding CNET Download.com entirely ».
- (en) Darren Pauli, « Insecure AVG search tool shoved down users' throats, says US-CERT », The Register, (consulté le ) : « Sneaky 'foistware' downloads install things you never asked for ».
- (en) Simon Sharwood, « GIMP flees SourceForge over dodgy ads and installer », The Register, (lire en ligne, consulté le ).
- (en) « SourceForge locked in projects of fleeing users, cashed in on malvertising », sur Ars Technica (consulté le ).
- (en) « Sourceforge Hijacks the Nmap Sourceforge Account », Seclists.org, .
- (en) Sean Gallagher, « Black "mirror": SourceForge has now seized Nmap audit tool project », Ars Technica, .
- (en) « SourceForge grabs GIMP for Windows’ account, wraps installer in bundle-pushing adware [Updated] » (consulté le ).
- (en) « Yes, Every Freeware Download Site is Serving Crapware (Here's the Proof) », HowToGeek.com, : « Sadly, even on Google all the top results for most open source and freeware are just ads for really terrible sites that are bundling crapware, adware, and malware on top of the installer. Most geeks will know that they shouldn’t click on the ads, but obviously enough people are clicking those ads for them to be able to afford to pay the high per-click prices for Google AdWords. ».
- (en) « These companies that mislead our users », .
- (en) « VLC media player suffering in face of crapware and uncaring Google », Geek.com, .
- (en) « VideoLAN Calls Out for Help to Protect Users from VLC Scams », .
- (en) « Adware in new installer », The VideoLAN forums.