Portes dérobées du logiciel privateur
Autres exemples de malveillance dans le logiciel privateur
Le logiciel non libre (privateur) est très souvent malveillant (conçu pour maltraiter les utilisateurs). Il est contrôlé par ses développeurs, ce qui les met en position de pouvoir vis-à-vis des utilisateurs ; c'est l'injustice de base. Les développeurs exercent souvent ce pouvoir au détriment des utilisateurs qu'ils devraient servir.
Voici des exemples de portes dérobées documentées dans des logiciels privateurs. Elles sont classées d'après ce qu'elles permettent de faire. Les portes dérobées qui permettent de prendre totalement le contrôle du système d'exploitation sont dites « universelles ».
Espionner | Altérer les données/préférences de l'utilisateur | Installer/supprimer des programmes | Contrôle total | Autre/non défini
Espionner
-
De nombreux modèles de caméras connectées contiennent une porte dérobée caractérisée. Elles ont des comptes utilisateurs avec des mots de passe codés en dur, non modifiables, et qui ne peuvent pas non plus être supprimés.
Puisque ces comptes avec mots de passe codés en dur sont impossibles à supprimer, il ne s'agit pas seulement d'insécurité ; il s'agit d'une porte dérobée qui peut être utilisée par le fabricant (et le gouvernement) pour espionner les utilisateurs.
-
WhatsApp a une porte dérobée que cette société peut utiliser pour lire les messages en clair.
Cela ne doit pas nous étonner. Les logiciels de chiffrement non libres ne sont jamais fiables.
-
Microsoft a déjà mis une porte dérobée dans le chiffrement des disques.
-
Apple peut – et elle le fait régulièrement – extraire à distance certaines données des iPhones pour l'État.
Il y a peut-être du progrès avec iOS 8, qui a une sécurité améliorée, mais pas autant que le prétend Apple.
Altérer les données ou préférences de l'utilisateur
-
Chrome a une porte dérobée pour l'effacement à distance des modules complémentaires.
-
Une application qui contrôle les tests de grossesse peut non seulement espionner toute une variété de données personnelles stockées dans le téléphone ou sur le serveur, mais aussi les altérer.
-
L'appli Dropbox pour MacIntosh prend le contrôle des éléments de l'interface utilisateur après avoir piégé ce dernier pour obtenir un mot de passe administrateur.
-
Des utilisateurs ont rapporté que Microsoft les avait forcés à remplacer Windows 7 ou 8 par Windows 10, l'espion tous azimuths.
Microsoft attaquait effectivement les ordinateurs sous Windows 7 et 8 en modifiant un drapeau indiquant si la « mise à niveau » vers Windows 10 devait être faite, lorsque l'utilisateur avait coché « non ».
Plus tard, Microsoft a publié des instructions sur la manière de refuser définitivement la régression vers Windows 10.
Il semble que cela se fasse au moyen d'une porte dérobée dans Windows 7 et 8.
-
Des véhicules de Caterpillar sont livrés avec une porte dérobée permettant d'arrêter le moteur à distance.
-
Les sal…applis rassemblent une grande variété de données sur leurs utilisateurs, ainsi que sur les amis et associés de leurs utilisateurs.
Pire, cela se fait au moyen de réseaux publicitaires qui combinent les données rassemblées par diverses sal…applis et divers sites créés par différentes sociétés.
Ils utilisent ces données pour inciter les gens à faire des achats et font la chasse aux « baleines » qu'ils peuvent amener à faire de grosses dépenses. Ils utilisent aussi une porte dérobée afin de manipuler le déroulement du jeu pour des joueurs particuliers.
Bien que l'article décrive des jeux gratuits, les jeux payants peuvent utiliser la même tactique.
-
Les Galaxy de Samsung qui tournent sous des versions privatrices d'Android sont livrés avec une porte dérobée qui permet l'accès à distance aux fichiers stockés dans l'appareil.
-
Certains routeurs D-Link ont une porte dérobée pour changer les réglages.
-
Le Kindle-Swindle d'Amazon a une porte dérobée qui a servi à effacer des livres à distance. Un de ces livres était 1984, de George Orwell.
Amazon a répondu aux critiques en disant qu'elle n'effacerait des livres que sur ordre de l'État. Cependant, cette politique n'a pas duré. En 2012 elle a complètement effacé le Kindle-Swindle d'une utilisatrice et supprimé son compte, puis lui a donné des « explications » kafkaïennes.
Est-ce que les autres liseuses ont des portes dérobées dans leurs logiciels ? Nous n'en savons rien et n'avons aucun moyen de le découvrir. Rien ne nous laisse supposer qu'elles n'en ont pas.
-
L'iPhone a une porte dérobée pour l'effacement complet à distance. Elle n'est pas activée en permanence, mais les utilisateurs sont amenés à l'activer sans comprendre ce que cela implique.
Installer ou supprimer des programmes
Certains téléviseurs « intelligents » téléchargent automatiquement des mises à jour régressives qui installent une appli de surveillance.
Nous mettons cet article en lien pour les faits qu'ils présentent. C'est dommage que dans sa conclusion il conseille de céder aux sirènes de Netflix. L'appli de Netflix est malveillante également.
-
La bibliothèque Android privatrice de Baidu (Moplus) a une porte dérobée qui peut « uploader des fichiers » et aussi installer des applis de force.
Elle est utilisée par 14 000 applications Android.
-
Dans Android, Google a une porte dérobée qui lui permet de supprimer des applications à distance (elle est dans un programme appelé GTalkService qui semble, depuis la parution de cet article, avoir été intégré à Google Play).
Google peut aussi installer des applis, de force et à distance au moyen de GTalkService. Ce n'est pas l'équivalent d'une porte dérobée universelle, mais cela rend possibles divers mauvais coups.
Bien que l'exercice de ce pouvoir par Google n'ait pas été malfaisant jusqu'à présent, le fait est que personne ne doit posséder un tel pouvoir, car il pourrait aussi être utilisé de manière malfaisante. Vous pourriez parfaitement décider de laisser un service de sécurité désactiver à distance les programmes qu'il considère comme malveillants. Mais il n'y a aucune excuse pour les supprimer, et vous devez avoir le droit de décider à qui accorder une telle confiance (à supposer que vous l'accordiez à quelqu'un).
-
De même, Windows 8 a une porte dérobée pour supprimer des applications à distance.
Vous pouvez parfaitement décider de laisser un service de sécurité en qui vous avez confiance désactiver les programmes qu'il considère comme malveillants. Mais il n'y a aucune excuse pour les supprimer, et vous devez avoir le droit de décider si vous voulez faire confiance à quelqu'un pour cela, et à qui.
-
L'iPhone a une porte dérobée qui permet à Apple d'effacer à distance les applications qu'elle estime « inappropriées ». D'après ce que disait Jobs, il est acceptable qu'Apple possède ce pouvoir, car naturellement nous pouvons lui faire confiance.
Contrôle total
-
ChromeOS a une porte dérobée universelle. Du moins, c'est ce que dit Google dans l'article 4 des CLUF.
-
Le jouet Furby Connect a une porte dérobée universelle. Même si ce produit, tel qu'il est livré, n'est pas utilisable comme appareil d'écoute, il pourrait sûrement le devenir après une modification à distance du code.
-
Sony a ressorti son robot de compagnie Aibo, cette fois-ci avec une porte dérobée universelle, ainsi qu'une dépendance à un serveur avec abonnement obligatoire.
-
Les voitures Tesla ont une porte dérobée universelle.
Donner à distance aux « propriétaires » la permission d'utiliser l'entière capacité de la batterie ne leur fait aucun mal. Cependant, la même porte dérobée permettrait à Tesla (peut-être sur commande d'un gouvernement) de donner à la voiture l'ordre distant de ne plus utiliser du tout sa batterie, ou même de conduire son passager vers une prison de torture.
-
Les téléviseurs « intelligents » Vizio ont une porte dérobée universelle.
-
L'Echo d'Amazon semble avoir une porte dérobée universelle puisque les « mises à jour » s'installent automatiquement.
Nous n'avons rien trouvé qui prouve l'absence totale de moyen pour désactiver la modification à distance du logiciel, mais cela paraît assez évident.
-
Les téléphones Xiaomi sont livrés avec une porte dérobée universelle à l'usage de Xiaomi dans le processeur d'application.
Elle est différente de la porte dérobée universelle utilisable par l'opérateur téléphonique local, qui existe dans le processeur du modem.
-
Microsoft Windows a une porte dérobée universelle qui permet d'imposer n'importe quel changement aux utilisateurs.
Plus d'information sur le moment où elle a été utilisée.
Dans Windows 10, la porte dérobée universelle n'est plus cachée ; les « mises à jour » seront imposées immédiatement, de force.
-
Une version chinoise d'Android a une porte dérobée universelle. Presque tous les modèles de téléphones mobiles ont une porte dérobée universelle sur la puce modem. Alors, pourquoi Coolpad se donnerait-il la peine d'en introduire une autre ? Parce que celle-ci est sous son contrôle.
-
Chacun, ou presque, des processeurs de communication utilisés en téléphonie a une porte dérobée universelle qui est souvent employée pour forcer le téléphone à transmettre toutes les conversations qu'il entend.
Cette porte dérobée peut prendre la forme de bogues qui sont restées non corrigées pendant 20 ans. Le choix de laisser ces failles de sécurité en place est l'équivalent moral de la création d'une porte dérobée.
La porte dérobée est dans le « processeur du modem », dont le rôle est de communiquer avec le réseau hertzien. Dans la plupart des téléphones, le processeur du modem a le contrôle du micro et en général il a aussi la capacité de réécrire le logiciel du processeur principal.
Quelques modèles de téléphone sont spécialement conçus pour que le processeur du modem ne contrôle pas le micro et par conséquent ne puisse pas changer le logiciel du processeur principal. Ils ont tout de même une porte dérobée, mais au moins elle est incapable de transformer le téléphone en appareil d'écoute.
Il semble que la porte dérobée universelle soit également utilisée pour forcer les téléphones à transmettre même quand ils sont éteints. Cela signifie que leurs mouvements sont suivis et que la fonction d'écoute peut être rendue opérante.
-
En plus de son « effaceur de livre », le Kindle-Swindle a une porte dérobée universelle.
Autre ou non défini
-
Une mise à jour de Street Fighter V, le jeu de Capcom, a installé un pilote pouvant être utilisé comme porte dérobée par toute application installée sur un ordinateur sous Windows, mais cette fonctionnalité a été immédiatement retirée en réponse au tollé général.
-
Le modem câble ARRIS a une porte dérobée dans sa porte dérobée.
-
Les ordinateurs Dell vendus avec Windows avaient un certificat racine bidon qui permettait à n'importe qui (pas seulement à Dell) d'autoriser à distance l'exécution de n'importe quel programme.
-
Pendant quatre ans, MacOS X a eu une porte dérobée intentionnelle qui pouvait être exploitée par des attaquants pour obtenir les privilèges du superutilisateur root.
-
Voici un gros problème dont les détails sont encore secrets : le FBI demande à de nombreuses entreprises de mettre des portes dérobées dans des programmes privateurs. Nous ne connaissons pas de cas précis, mais chacun des programmes privateurs de chiffrement est un candidat possible.
-
Le gouvernement allemand se détourne des ordinateurs sous Windows 8 munis de la puce TPM 2.0 parce que cette puce permet de créer des portes dérobées.
-
Voici une hypothèse que nous ne pouvons pas prouver, mais qui mérite réflexion : le microcode reprogrammable des microprocesseurs Intel et AMD pourrait fournir à la NSA un moyen d'envahir les ordinateurs, disent des experts respectés en sécurité.
-
Les équipements de stockage [storage appliances] de HP qui utilisent le système d'exploitation privateur « Left Hand » ont des portes dérobées qui autorisent HP à s'y connecter à distance. HP prétend que cela ne lui donne pas accès aux données de l'utilisateur, mais si la porte dérobée permettait l'installation de logiciels modifiés, il serait possible d'installer une modification qui lui donnerait cet accès.
L'EFF donne d'autres exemples de l'utilisation de portes dérobées.