Portes dérobées

• 2020-04

  Les conditions d'utilisation de Google Play exigent que l'utilisateur d'Android accepte la présence de portes dérobées universelles dans les applis publiées par Google.

  Ceci ne nous dit pas si des applis de Google contiennent actuellement une porte dérobée, mais la question est secondaire. En termes de morale, exiger que les gens acceptent par avance un mauvais traitement est équivalent à le leur infliger. Cela mérite la même condamnation que le traitement lui-même.

• 2019-08

  Les ChromeBooks sont programmés pour l'obsolescence: ChromeOS a une porte dérobée universelle qui est utilisée pour les mises à jour et cesse de fonctionner à une date prédéterminée. Ensuite, il semble que l'ordinateur n'ait plus aucun suivi.

  En d'autres termes, quand vous cessez de vous faire avoir par la porte dérobée, vous commencez à vous faire avoir par l'obsolescence.

• 2018-09

  Android a une porte dérobée permettant de modifier à distance la configuration « utilisateur ».

  L'article suggère qu'il pourrait s'agir d'une porte dérobée universelle, mais ce n'est pas clair.

• 2012-02

  ChromeOS a une porte dérobée universelle. Du moins, c'est ce que dit Google dans l'article 4 des CLUF.

• 2011-03

  Dans Android, Google a une porte dérobée qui lui permet de supprimer des applications à distance (elle est dans un programme appelé GTalkService qui semble, depuis la parution de cet article, avoir été intégré à Google Play).

  Google peut aussi installer des applis, de force et à distance au moyen de GTalkService. Ce n'est pas l'équivalent d'une porte dérobée universelle, mais cela rend possibles divers mauvais coups.

  Bien que l'exercice de ce pouvoir par Google n'ait pas été malfaisant jusqu'à présent, le fait est que personne ne doit posséder un tel pouvoir, car il pourrait aussi être utilisé de manière malfaisante. Vous pourriez parfaitement décider de laisser un service de sécurité désactiver à distance les programmes qu'il considère comme malveillants. Mais il n'y a aucune excuse pour les supprimer, et vous devez avoir le droit de décider à qui accorder une telle confiance (à supposer que vous l'accordiez à quelqu'un).

Censure

• 2017-03

  Google propose des logiciels de censure, soi-disant pour que les parents les installent dans les ordinateurs de leurs enfants.

• 2017-01

  Sur Windows et MacOS, Chrome désactive les extensions qui ne sont pas hébergées dans le magasin web de Chrome.

  Par exemple, une extension a été bannie du magasin de Chrome et désactivée de manière permanente sur plus de 40 000 ordinateurs.

• 2016-02

  Google a censuré l'installation du bloqueur de pubs de Samsung sur les téléphones Android en disant que bloquer les pubs revenait à « interférer » avec les sites qui en affichent (et s'en servent pour surveiller les utilisateurs).

  Le bloqueur de pubs est un logiciel privateur, tout comme le programme (Google Play) dont Google se servait pour vous empêcher de l'installer. Utiliser un programme non libre donne à son propriétaire du pouvoir sur vous ; c'est ce pouvoir qu'a exercé Google.

  La censure de Google, contrairement à celle d'Apple, n'est pas complète. Android permet aux utilisateurs d'installer des applis autrement. Vous pouvez installer des programmes libres provenant de f-droid.org.

DRM

« Gestion numérique des restrictions », ou « DRM », désigne les fonctionnalités conçues pour limiter ce que les utilisateurs peuvent faire avec leurs ordinateurs.

• 2017-05

  Google permet maintenant aux applis Android de détecter si un appareil a été « rooté » et de refuser de s'installer si c'est le cas.

  Mise à jour : c'est intentionnellement que Google a modifié Android pour que les applis puissent détecter les appareils rootés et refuser de fonctionner sur ces derniers. L'appli de Netflix est privatrice et personne ne doit l'utiliser, mais ce qu'a fait Google n'en est pas moins répréhensible.

• 2017-01

  Chrome met en œuvre la gestion numérique des restrictions, de même que Chromium, à l'aide d'un logiciel non libre intégré.

  Pour en savoir plus.

• 2011-02

  Android a des fonctionnalités spéciales pour gérer les DRM.

Insécurité

Contrairement au reste de la page, ce paragraphe répertorie des bogues qui ne sont pas (n'étaient pas) intentionnels, et donc ne peuvent pas être qualifiés de malveillants. Nous les signalons pour réfuter l'idée préconçue que les logiciels privateurs prestigieux n'ont pas de bogue grave.

• 2021-07

  Le logiciel espion Pegasus utilise des vulnérabilités des systèmes d'exploitation privateurs pour smartphones pour espionner. Il peut enregistrer les appels, copier les messages et filmer les gens secrètement. Il existe une analyse technique de ce logiciel espion en format PDF.

  Un système d'exploitation libre laisserait les gens corriger ces bogues, mais dans l'état actuel des choses ils seront obligés d'attendre que les entreprises le fassent.

  (Notez que cet article utilise le terme « hackers » à mauvais escient.)

• 2020-08

  TikTok a exploité une vulnérabilité d'Android pour obtenir les adresses MAC d'utilisateurs.

• 2019-07

  Plusieurs applis pour Android pistent les utilisateurs même quand ils disent de ne pas leur donner accès à la géolocalisation.

  Cela fait intervenir une faille apparemment involontaire d'Android, qui est exploitée sciemment par les applis malveillantes.

• 2013-11

  La NSA peut aller chercher des données dans les smartphones, que ce soit les iPhones, les Android ou les Blackberry. Bien que l'article soit peu détaillé, il semble que cette opération n'utilise pas la porte dérobée universelle qui, on le sait, se trouve dans presque tous les téléphones portables. Il est possible qu'elle exploite différents bogues. Il y a de plus une multitude de bogues dans le logiciel de radio des téléphones.

Ingérence

Cette section décrit comment certains logiciels de Google importunent ou harcèlent l'utilisateur, ou bien lui causent des ennuis. Cela ressemble à du sabotage, mais le mot « sabotage » est trop fort.

• 2021-06

  Google a installé automatiquement une appli sur beaucoup de téléphones Android. L'appli n'est peut-être pas malveillante, mais le pouvoir que possède Google sur les téléphones Android (privateurs) est dangereux.

• 2019-01

  Google est en train de modifier Chromium de telle sorte que les extensions ne puissent plus altérer ni bloquer ce que contient la page. Il est concevable que les utilisateurs annulent ce changement dans un fork de Chromium, mais il est certain que Chrome (non libre) le contiendra également, et là les utilisateurs ne pourront pas l'annuler.

Sabotage

Les injustices décrites dans cette section ne sont pas précisément de la malveillance, car elles ne sous-entendent pas que le programme en fonctionnement soit conçu pour nuire à l'utilisateur. Mais elles y ressemblent beaucoup puisqu'il s'agit d'actions techniques de Google Qui font du tort aux utilisateurs de certains programmes de Google.

• 2020-11

  Une nouvelle appli publiée par Google permet aux banques et aux créditeurs de désactiver les appareils Android de leurs débiteurs s'ils omettent de payer en temps voulu. Lorsqu'un appareil est désactivé, son usage est restreint aux fonctionnalités de base comme les appels d'urgence et l'accès aux réglages.

• 2016-04

  Revolv est un appareil qui gérait les « maisons intelligentes » : éclairage, détecteurs de mouvements, régulation de température, etc. Le 15 mai 2016, Google/Alphabet l'a mis délibérément hors d'usage en arrêtant le serveur.

  Si son logiciel avait été libre, les utilisateurs auraient pu le remettre en service, d'une manière différente, et avoir ensuite une maison respectueuse de leur liberté plutôt qu'une maison « intelligente ». Ne laissez pas des logiciels propriétaires contrôler vos appareils et les transformer en presse-papiers de luxe hors garantie. Exigez des ordinateurs autonomes faisant tourner des logiciels libres !

• 2015-11

  Google a depuis longtemps une porte dérobée qui sert à déverrouiller les appareils Android à distance, à moins que leur disque ne soit chiffré (le chiffrement est possible depuis Android Lollipop, mais n'est pas encore activé par défaut).

Surveillance

• 2021-02

  Google a communiqué des données personnelles de manifestants et activistes indiens à la police, ce qui a conduit à leur arrestation. Les flics ont demandé l'adresse IP et la localité d'où avait été créé un document et avec cette information ont identifié ces personnes.

• 2020-08

  Google Nest est en train de prendre le contrôle d'ADT. Google a envoyé sur ses enceintes connectées (en utilisant une porte dérobée) une mise à jour qui leur permet d'écouter des bruits du genre alarme incendie, puis d'envoyer une notification sur votre téléphone si une alarme se met en route. Cela signifie que ces appareils peuvent désormais réagir à d'autres bruits que la seule « phrase de réveil ». Google dit que la mise à jour a été envoyée prématurément et par accident, et qu'il était prévu de dévoiler cette nouvelle fonctionnalité en la proposant aux clients qui acceptent de la payer.

• 2020-04

  Les programmes privateurs Google Meet, Microsoft Teams et WebEx récoltent des données personnelles identifiables, entre autres combien dure l'appel, qui sont les participants et les adresses IP de chacun. L'expérience montre que cela peut conduire à porter un préjudice physique aux utilisateurs si ces sociétés communiquent les données à des gouvernements.

• 2020-04

  Google, Apple et Microsoft (ainsi que d'autres, probablement) enregistrent les points d'accès wifi et les coordonnées GPS des gens, ce qui permet de les localiser précisément même si le GPS est éteint, ceci sans leur consentement et en utilisant le logiciel privateur installé dans leur téléphone. Même si on leur demandait la permission, cela ne légitimerait pas nécessairement cette pratique.

• 2019-07

  L'« assistant » de Google enregistre les conversations des utilisateurs même lorsqu'il n'est pas censé écouter. Ainsi, lorsque l'un des sous-traitants de Google a dévoilé un millier d'enregistrements confidentiels, les utilisateurs ont été facilement identifiés par ces enregistrements.

  Puisque l'assistant de Google utilise du logiciel privateur, il n'y a pas moyen de voir ni de contrôler ce qu'il enregistre ou envoie.

  Plutôt que d'essayer de mieux contrôler l'utilisation de ces enregistrements, Google ne devrait pas enregistrer ni écouter la voix des personnes. Il devrait seulement recevoir les commandes que l'utilisateur veut envoyer à l'un de ses services.

• 2019-06

  Google Chrome est un instrument de surveillance. Il permet à des milliers de pisteurs d'envahir l'ordinateur de l'utilisateur et de communiquer les sites visités à des publicitaires et à des sociétés de traitement de données, au premier rang desquelles Google. Si de plus l'utilisateur a un compte Gmail, Chrome s'y connecte automatiquement pour rendre le profilage plus aisé. Sur Android, Chrome envoie également les données de localisation à Google.

  Le meilleur moyen d'échapper à cette surveillance est de passer à IceCat, une version de Firefox avec plusieurs modifications améliorant la protection de la vie privée.

• 2019-04

  Google piste les téléphones Android et les iPhones sur lesquels s'exécutent des applis de Google, puis sauvegarde les données, parfois pendant des années.

  Ce doit être un logiciel non libre présent dans le téléphone qui envoie ces données à Google.

• 2019-02

  Les internautes sont invités à laisser Google surveiller ce qu'ils font avec leur téléphone et leur connexion Internet, contre une rémunération extravagante de 20 $.

  Il ne s'agit pas d'une fonctionnalité malveillante dans programme conçu pour faire autre chose, mais de la seule raison d'être de ce logiciel, et Google ne s'en cache pas. Toutefois, Google le dit en des termes qui encouragent la plupart des gens à négliger les détails. Voilà pourquoi, à notre avis, il est justifié d'en parler ici.

• 2018-11

  On a constaté que le GPS d'un certain téléphone Android fonctionnait même en mode avion. Les données de géolocalisation n'étaient pas envoyées sur le moment, mais sauvegardées et envoyées plus tard.

• 2018-09

  Tiny Lab Productions, ainsi que des entreprises de pub en ligne contrôlées par Google, Twitter et trois autres sociétés, sont sous le coup d'une plainte pour non-respect de la vie privée pour avoir communiqué les données personnelles d'utilisateurs de jeux mobiles à des sociétés tierces, entre autres à des fins publicitaires.

• 2018-08

  Google piste les gens, même s'ils inactivent l'historique de géolocalisation, au moyen de Google Maps, des mises à jour météo et des recherches sur le web. N'importe lequel de ces services peut servir au pistage si l'option Web and App Activity est activée (elle l'est par défaut).

• 2018-08

  Depuis début 2017, les téléphones Android collectent les adresses des antennes voisines, même quand les services de géolocalisation sont désactivés, et ils envoient ces données à Google.

• 2018-08

  Certaines applis Android enregistrent la position de l'utilisateur même quand il désactive la géolocalisation.

  Il existe des moyens de désactiver les autres modes de localisation, mais la plupart des utilisateurs se font piéger par une configuration trompeuse.

• 2017-11

  Android fait de la géolocalisation pour Google même quand les « services de localisation » sont désactivés, et même quand le téléphone n'a pas de carte SIM.

• 2017-04

  Les chromebooks bon marché distribués dans les écoles collectent bien plus de données sur les élèves que nécessaire, et les conservent indéfiniment. Les parents et les étudiants se plaignent, entre autres, du manque de transparence de la part des services éducatifs et de l'école, de la difficulté d'éviter ces services et du manque de règles adéquates garantissant la protection de la vie privée.

  Mais il ne suffit pas de se plaindre. Les parents, les élèves et les professeurs doivent se rendre compte que les logiciels utilisés par Google pour espionner les élèves ne sont pas libres et qu'on ne peut donc pas vérifier facilement ce qu'ils font. La seule solution est de persuader les responsables scolaires d'utiliser uniquement du logiciel libre dans l'enseignement et les services administratifs. Si l'école est gérée au niveau local, les parents et les professeurs peuvent mandater leurs représentants au conseil d'administration pour refuser le budget à moins que l'école n'amorce une migration vers le logiciel libre. Si l'éducation est gérée au niveau national, ils doivent persuader les législateurs (par exemple au travers des organisations de défense du logiciel libre, des partis politiques, etc.) de faire migrer les écoles publiques vers le logiciel libre.

• 2016-09

  La nouvelle appli de messagerie vocale de Google enregistre toutes les conversations.

• 2016-09

  Google Play (un composant d'Android) suit tous les mouvements de l'utilisateur sans sa permission.

  Il n'est pas suffisant de désactiver Google Maps et la géolocalisation pour éviter cette traque ; il faut désactiver complètement Google Play. Voilà encore un exemple de logiciel non libre qui, soi-disant, obéit à l'utilisateur, mais en réalité fait tout autre chose. Ce genre de comportement serait à peu près inimaginable avec du logiciel libre.

• 2015-07

  Dans Google Chrome, les extensions ont toute facilité pour espionner en détail la navigation de l'utilisateur, et beaucoup ne s'en privent pas.

• 2015-06

  Google Chrome comprend un module qui active les micros et transmet le signal audio à ses serveurs.

• 2014-07

  Les thermomètres de Nest envoient au serveur beaucoup de données concernant l'utilisateur.

• 2013-08

  Google Chrome espionne l'historique du navigateur, les affiliations et les autres logiciels installés.

• 2013-08

  Des logiciels espions dans les téléphones Android et les ordinateurs portables (sous Windows ?) : le Wall Street Journal (dans un article pourvu d'une barrière à péage) rapporte que le FBI peut activer à distance le GPS et le micro des téléphones Android et des ordinateurs portables (vraisemblablement des portables sous Windows) ; voici des informations complémentaires.

• 2013-07

  Des logiciels espions sont présents dans certains appareils sous Android au moment de l'achat. Certains téléphones Motorola (fabriqués lorsque cette société appartenait à Google) utilisent une version modifiée d'Android qui communique des données personnelles au fabricant.

• 2013-07

  Un téléphone Motorola est à l'écoute des fréquences vocales en permanence.

• 2013-02

  Google Play envoie intentionnellement aux développeurs d'applis les données personnelles des utilisateurs qui les installent.

  Une simple demande de « consentement » ne suffit pas à légitimer des actions de cette sorte. Les utilisateurs ont depuis longtemps cessé de lire les « conditions d'utilisation » qui spécifient à quoi ils « consentent ». Google doit identifier clairement et honnêtement les renseignements qu'elle collecte à propos des utilisateurs au lieu de les cacher dans des CLUF absconses.

  Cependant, pour protéger réellement la vie privée des gens, nous devons en premier lieu empêcher Google et les autres sociétés de récupérer cette information personnelle.

• 2012-08

  De nombreux sites envoient à Google un rapport sur chacun de leurs visiteurs par le biais de Google Analytics, rapport qui contient son adresse IP et la page visitée.

• 2008-09

  Google Chrome contient un enregistreur de frappe [keylogger] qui envoie à Google toutes les URL saisies au clavier, un caractère à la fois.

Tyrans

Un tyran est un appareil qui rejette tout système d'exploitation non « autorisé » par le fabricant.

• 2013-04

  Motorola, lorsqu'elle était une filiale de Google, a fabriqué des téléphones Android qui sont des tyrans (bien que quelqu'un ait trouvé moyen de briser ces restrictions).