Malveillance de divers appareils

Autres exemples de malveillance dans le logiciel privateur

Un logiciel est dit « malveillant » lorsque son fonctionnement a été conçu pour traiter l'utilisateur de manière inéquitable ou lui faire du tort (erreurs accidentelles mises à part).

Logiciel malveillant et logiciel non libre sont deux notions différentes. La différence entre logiciel libre et logiciel non libre réside dans le fait que les utilisateurs ont, ou non, le contrôle du programme. Cela n'a rien à voir avec ce que fait le programme en cours de fonctionnement. Cependant, en pratique, un logiciel non libre est souvent malveillant parce que le développeur, conscient que les utilisateurs seraient incapables de corriger une éventuelle fonctionnalité malveillante, est tenté de leur en imposer quelques-unes.

Voici quelques exemples de malveillance dans divers appareils et équipements.

De nombreux modèles de caméras connectées sont extrêmement mal sécurisées. Elles ont des comptes utilisateurs avec des mots de passe codés en dur, non modifiables, et il n'y a pas moyen non plus de supprimer ces comptes.
Le code privateur qui fait fonctionner les pacemakers et les pompes à insuline, ainsi que d'autres dispositifs médicaux, est rempli de failles de sécurité monstrueuses.
Des utilisateurs sont en train d'attaquer Bose en justice pour avoir distribué une appli espionne en complément de ses écouteurs. Plus précisément, l'appli enregistrait les noms des fichiers musicaux écoutés, ainsi que le numéro de série unique de l'appareil.

On reproche à Bose d'avoir fait cela sans le consentement des utilisateurs. Est-ce que ce serait devenu acceptable si les clauses en petits caractères de l'appli avaient dit que l'utilisateur donnait son accord ? Jamais de la vie ! Dès le départ, il aurait dû être illégal de concevoir cette appli pour espionner.
Annova a saboté les assistants de cuisine de ses utilisateurs avec une mise à jour régressive qui les a rendus dépendants d'un serveur distant. À moins que l'utilisateur ne crée un compte sur les serveurs d'Annova, son assistant cesse de fonctionner.
Lorsque le lave-vaisselle désinfecteur de Miele se connecte à l'Internet des Dangers, sa sécurisation est en-dessous de tout.

Par exemple, un cracker aurait la possibilité d'accéder au système de fichiers du lave-vaisselle, de l'infecter avec un maliciel et de forcer la machine à attaquer d'autres appareils connectés au réseau. Puisque ces lave-vaisselles sont utilisés dans les hôpitaux, une attaque de ce type pourrait mettre en danger des centaines de vies humaines.
Si vous achetez du matériel « intelligent » d'occasion (voiture, système domotique, téléviseur, frigo ou autre), le précédent propriétaire peut continuer à le contrôler à distance.
Les téléviseurs « intelligents » Vizio rapportent tout ce qui est visionné et pas seulement les émissions hertziennes ou câblées. Même si l'image provient de l'ordinateur personnel de l'utilisateur, le téléviseur rapporte ce qu'elle montre. Le fait qu'il existe un moyen de désactiver cette surveillance, même s'il n'est plus caché comme il a pu l'être auparavant, ne la justifie pas.
Presque tous les téléviseurs « intelligents » espionnent leurs utilisateurs.

Le rapport est daté de 2014 mais nous serions surpris si la situation s'était améliorée depuis.

Cela montre que les lois exigeant des appareils qu'ils demandent le consentement formel de l'utilisateur avant de récupérer ses données personnelles sont complètement inadéquates. Et qu'arrive-t-il si un utilisateur refuse son consentement ? Il est probable que le téléviseur va dire : « Si vous ne consentez pas au pistage, la télévision ne fonctionnera pas. »

Des lois acceptables diraient que les téléviseurs ne sont pas autorisés à rapporter ce que regarde l'utilisateur. Pas d'exception !
Certains téléviseurs de LG sont des tyrans.
Les « Smart TV » de Samsung ont fait de Linux la base d'un système tyrannique pour imposer les DRM. Ce qui permet à Samsung de faire ça, c'est le fait que Linux soit publié sous la version 2 de la GNU GPL et non sous la version 3, combiné à une interprétation permissive de la version 2.
Pour truander les tests antipollution, Le logiciel privateur d'Audi a employé une méthode très simple qui consiste à activer un mode particulier de changement de vitesse qui émet peu de polluants, jusqu'au moment où la voiture effectue son premier virage.
Une société qui fabrique des vibrateurs contrôlés via Internet est poursuivie en justice pour avoir collecté des masses de données personnelles sur la manière dont les gens l'utilisent.

La déclaration de cette société selon laquelle elle anonymise les données est peut-être vraie, mais cela n'a pas vraiment d'importance. Si elle les vend à un courtier en données, le courtier peut trouver qui est l'utilisateur.
Google/Alphabet a mis en panne intentionnellement les appareils domotiques de la marque Revolv, qui dépendaient d'un serveur pour leur fonctionnement. Tirez-en la leçon, refusez ces procédés ! Exigez des ordinateurs autonomes faisant tourner des logiciels libres !
Le modem câble ARRIS a une porte dérobée dans sa porte dérobée.
Des véhicules de Caterpillar sont livrés avec une porte dérobée permettant d'arrêter le moteur à distance.
Les équipements de stockage [storage appliances] de HP qui utilisent le système d'exploitation privateur « Left Hand » ont des portes dérobées qui autorisent HP à s'y connecter à distance. HP prétend que cela ne lui donne pas accès aux données de l'utilisateur, mais si la porte dérobée permettait l'installation de logiciels modifiés, il serait possible d'installer une modification qui lui donnerait cet accès.
Certains routeurs D-Link ont une porte dérobée pour changer les réglages.

De nombreux modèles de routeurs ont des portes dérobées.
Le routeur TP-Link a une porte dérobée.
Volkswagen a programmé les ordinateurs contrôlant les moteurs de ses véhicules pour qu'ils détectent les essais antipollution de l'Environmental Protection Agency (agence de protection de l'environnement des États-Unis)… et polluent le reste du temps.

En conditions réelles, les voitures excédaient les normes d'émission d'un facteur allant jusqu'à 35.

L'utilisation de logiciel libre n'aurait pas empêché Volkswagen de programmer ainsi ses ordinateurs, mais cela aurait été plus difficile à cacher.
L'imprimante 3D « Cube » a été conçue avec un dispositif de gestion numérique des restrictions ; elle refuse les consommables fournis par des sociétés tierces. C'est la Keurig¹ des imprimantes. Sa fabrication a été arrêtée, ce qui signifie qu'à terme ces imprimantes deviendront inutilisables, les consommables autorisés n'étant plus disponibles.

Avec une imprimante labélisée RYF (Respecte votre liberté), il n'y a aucune chance que cela se produise.

C'est lamentable que l'auteur de cet article dise qu'au départ il n'y avait « rien de mal » à concevoir l'appareil avec des restrictions d'usage. C'est comme de mettre sur sa poitrine une affiche disant « Dupez-moi et maltraitez-moi ». Nous devrions avoir un peu plus de bon sens et condamner toutes les sociétés qui exploitent les gens comme lui. De fait, c'est l'acceptation de leurs pratiques injustes qui apprend aux gens à se conduire comme des paillassons.
Les ampoules « intelligentes » de Philips ont été conçues pour ne pas interagir avec les ampoules intelligentes des autre sociétés.

Si un produit est « intelligent » et que vous ne l'avez pas fabriqué, il utilise son intelligence pour servir son fabricant à votre détriment.
Les DVD et les disques Blu-ray ont des DRM.

Cette page nous sert le baratin en faveur des menottes numériques, entre autres « gestion numérique des droits » et « protéger », et prétend que les « artistes » (plutôt que les éditeurs) sont responsables de l'introduction de la gestion numérique des restrictions dans ces disques. Néanmoins, c'est une référence factuelle.

Tous les disques Blu-ray (à quelques rares exceptions près) ont un DRM. Aussi, n'utilisez pas de disque Blu-ray !
Les DRM des voitures vont conduire les consommateurs à la démence.
Plus de 70 modèles de caméras de surveillance connectées au réseau ont des failles de sécurité qui permettent à n'importe qui de s'en servir pour regarder.
le système « Smart Home » (maison intelligente) de Samsung a une grosse faille de sécurité ; des personnes non autorisées peuvent le contrôler.

Sansung prétend que c'est une plateforme « ouverte » et que le problème est donc en partie la faute des développeurs d'applis. C'est évidemment le cas si les applis sont du logiciel privateur.

Un truc portant le nom de « Smart », quel qu'il soit, va très probablement vous avoir jusqu'au trognon.
La « Leaf » de Nissan a un modem de téléphonie mobile intégré qui permet à n'importe qui d'accéder à distance à ses ordinateurs et de changer différents réglages.

C'est facile parce que le système n'a pas d'authentification quand on y accède par modem. Cependant, même s'il demandait une authentification, vous ne pourriez jamais être sûr que Nissan n'y aurait pas accès. Le logiciel de la voiture est privateur, ce qui signifie qu'il exige de ses utilisateurs une confiance aveugle.

Même si personne ne se connecte à distance à la voiture, le modem de téléphonie mobile permet à l'opérateur de tracer en permanence les déplacement de la voiture ; il est toutefois possible de l'enlever physiquement.
Un logiciel malveillant a été trouvé dans les caméras de surveillance disponibles chez Amazon.

Une caméra qui enregistre localement sur un support physique et n'a pas de connexion réseau ne représente pas une menace de surveillance, que ce soit par observation directe des gens au moyen de la caméra, ou par l'intermédiaire d'un logiciel malveillant infectant la caméra.
Les moniteurs de forme physique FitBit ont une vulnérabilité au niveau du Bluetooth, qui permet à l'attaquant d'envoyer à ces appareils des logiciels malveillants pouvant ensuite se propager aux ordinateurs et aux autres moniteurs Fitbit avec lesquels ils interagissent.
Les disque durs « à chiffrement automatique » utilisent pour ce faire un micrologiciel [firmware] privateur, auquel par conséquent on ne peut pas se fier. Les disques « My Passport » de Western Digital ont une porte dérobée.
Des chercheurs en sécurité informatique ont découvert une vulnérabilité dans les dongles de diagnostic utilisés pour le traçage et l'assurance des véhicules, qui permet de prendre le contrôle à distance d'une voiture ou d'un camion au moyen d'un SMS.
Des crackers ont été en mesure de prendre le contrôle à distance de la « Jeep connectée ».

Ils ont pu suivre les déplacements de la voiture, démarrer et arrêter le moteur, activer et désactiver les freins, et plus encore.

J'imagine que Chrysler et la NSA peuvent faire de même.

Si un jour je possède une voiture et qu'elle contient un téléphone portable, je le désactiverai.
Les pompes à perfusion Hospira, qui sont utilisées pour administrer des médicaments à des patients, sont considérées comme « les périphériques IP les moins sécurisés que j'ai jamais vus » par un chercheur en sécurité informatique.

Selon le médicament qui est perfusé, l'insécurité pourrait ouvrir la porte au meurtre.
En raison du défaut de sécurité de certaines pompes à perfusion, des crackers pourraient les utiliser pour tuer des patients.
Dans les « maisons intelligentes », on découvre des vulnérabilités stupides permettant les intrusions.
La FTC a sanctionné une entreprise pour avoir fabriqué des webcams comportant des failles de sécurité telles qu'il était facile pour n'importe qui de regarder ce qui était filmé.
Il est possible de prendre le contrôle de l'ordinateur de bord de certaines voitures, au moyen de logiciels malveillants infectant des fichiers musicaux. Et également au moyen de la radio. Voici des informations supplémentaires.
Il est possible de tuer des gens en prenant le contrôle d'implants médicaux par radio. Voici des informations supplémentaires. Et là aussi.
Bon nombre d'appareils médicaux ont une sécurisation en-dessous de tout, et ce peut être mortel.
Des terminaux de paiement tournant sous Windows ont été piratés et transformés en botnet afin de récupérer les numéros de cartes de crédit des clients.
Vizio a utilisé une « mise à niveau » du micrologiciel [firmware] pour faire en sorte que ses téléviseurs espionnent ce que regardent les utilisateurs. Les téléviseurs ne le faisaient pas quand ils ont été mis sur le marché.
LG a désactivé des fonctionnalités réseau sur des téléviseurs « intelligents » achetés antérieurement, à moins que les acheteurs ne consentent à laisser LG se mettre à les espionner et à distribuer leurs données personnelles.
Barbie va fliquer les enfants et les adultes.
les téléphones « VoIP unifiée » (TNT) de Cisco sont des instruments d'espionnage.
La caméra « intelligente » Nest Cam regarde en permanence, même quand son « propriétaire » la met sur « arrêt ».

Un appareil « intelligent » est un appareil dont le fabricant se sert pour jouer au plus malin avec vous.
Les voitures informatisées avec des logiciels non libres sont des instruments d'espionnage.
Dans certaines voitures, un logiciel privateur enregistre l'information concernant les mouvements des conducteurs, information qui est mise à disposition des constructeurs automobiles et des compagnies d'assurance, entre autres.

Dans le cas des systèmes de péage mentionnés dans l'article ci-dessus, il ne s'agit pas vraiment de surveillance par du logiciel privateur. Ces systèmes constituent une invasion intolérable de la vie privée et devraient être remplacés par des systèmes de paiement anonyme, mais cette invasion n'est pas le fait d'un logiciel malveillant. Dans les autres cas mentionnés, le responsable est bien un logiciel malveillant privateur présent dans la voiture
Les véhicules Tesla permettent à cette société d'extraire des données à distance et de localiser la voiture à chaque instant (voir la section 2, paragraphes b et c de l'article en lien). La société dit qu'elle ne conserve pas cette information, mais déclare que si l'État lui donne l'ordre de récupérer ces données et de les lui transmettre, l'État peut les conserver.
Vizio va plus loin que tous les autres fabricants de téléviseurs dans l'espionnage de ses utilisateurs : ses téléviseurs « intelligents » analysent en détail vos habitudes d'écoute et les relient à votre adresse IP, de manière que les annonceurs puissent vous suivre à la trace sur vos autres appareils.

Il est possible d'inactiver cette fonction, mais son activation par défaut est en soi une injustice.
L'alliance de Tivo avec Viacom ajoute 2,3 millions de foyers aux 600 millions de profils que la société surveille déjà sur les réseaux sociaux. Les clients de Tivo ne se rendent pas compte que les annonceurs les regardent. En combinant l'information provenant de la télévision avec la participation aux média sociaux, Tivo peut maintenant corréler la publicité à la télévision avec les achats en ligne, ce qui expose par défaut tous les utilisateurs à une nouvelle combinaison de flicages.
Certaines publicités de la télévision et du web émettent des sons inaudibles destinés à des logiciels malveillants en service sur d'autres appareils, avec une portée permettant de savoir qu'ils sont proches. Une fois que vos appareils connectés sont appariés avec votre télévision, les annonceurs peuvent corréler les publicités avec votre activité sur le web et autres données de traçage provenant des divers appareils.
Les téléviseurs connectés Vizio reconnaissent et rapportent à la plateforme ce que les gens regardent, même si ce n'est pas une chaîne de télévision.
Le téléviseur connecté d'Amazon espionne en permanence.
Celui de Samsung transmet la voix de l'utilisateur par Internet à une autre société, Nuance. Nuance la sauvegarde et pourrait donc être obligée de la communiquer au gouvernement des États-Unis ou d'un autre pays.

Vous ne devez pas faire confiance à la reconnaissance vocale, sauf si elle est effectuée par un logiciel libre sur votre propre ordinateur.

Dans sa politique de confidentialité, Samsung confirme explicitement que des données vocales contenant de l'information à caractère personnel seront transmises à des tiers.
L'espion des télévisions « intelligentes » de LG rapporte ce que regarde le téléspectateur (le fait que la transmission des données retourne une erreur 404 ne veut strictement rien dire ; le serveur pourrait sauvegarder ces données de toute façon).

Pire, il espionne les autres services du réseau local de l'utilisateur.

LG a dit plus tard qu'un correctif avait été installé, mais n'importe quel appareil pourrait espionner de cette façon.
La télévision cablée de Verizon rapporte quels programmes les gens regardent et même lesquels ils veulent enregistrer.