Malveillance des logiciels de Google

Autres exemples de malveillance dans le logiciel privateur

Un logiciel est dit « malveillant » lorsque son fonctionnement a été conçu pour traiter l'utilisateur de manière inéquitable ou lui faire du tort (erreurs accidentelles mises à part). Cette page explique ce qui rend malveillants les logiciels de Google.

Logiciel malveillant et logiciel non libre sont deux notions différentes. La différence entre logiciel libre et logiciel non libre réside dans le fait que les utilisateurs ont, ou non, le contrôle du programme. Cela n'a rien à voir avec ce que fait le programme en cours de fonctionnement. Cependant, en pratique, un logiciel non libre est souvent malveillant parce que le développeur, conscient que les utilisateurs seraient incapables de corriger une éventuelle fonctionnalité malveillante, est tenté de leur en imposer quelques-unes.

Si vous avez connaissance d'un exemple qui devrait se trouver sur cette page mais n'y figure pas, n'hésitez pas à écrire à <webmasters@gnu.org> pour nous en informer. Merci de fournir les URL d'une ou deux références fiables et spécifiques pour l'étayer.

Type de malveillance

Portes dérobées
Censure
Gestion numérique des restrictions, ou DRM — fonctionnalités conçues pour restreindre ce que les utilisateurs peuvent faire avec les données présentes sur leur ordinateur.
Insécurité
Ingérence
Sabotage
Surveillance
Tyrans – systèmes qui rejettent tout système d'exploitation non « autorisé » par le fabricant.

Portes dérobées

Android a une porte dérobée permettant de modifier à distance la configuration « utilisateur ».

L'article suggère qu'il pourrait s'agir d'une porte dérobée universelle, mais ce n'est pas clair.
ChromeOS a une porte dérobée universelle. Du moins, c'est ce que dit Google dans l'article 4 des CLUF.
Dans Android, Google a une porte dérobée qui lui permet de supprimer des applications à distance (elle est dans un programme appelé GTalkService qui semble, depuis la parution de cet article, avoir été intégré à Google Play).

Google peut aussi installer des applis, de force et à distance au moyen de GTalkService. Ce n'est pas l'équivalent d'une porte dérobée universelle, mais cela rend possibles divers mauvais coups.

Bien que l'exercice de ce pouvoir par Google n'ait pas été malfaisant jusqu'à présent, le fait est que personne ne doit posséder un tel pouvoir, car il pourrait aussi être utilisé de manière malfaisante. Vous pourriez parfaitement décider de laisser un service de sécurité désactiver à distance les programmes qu'il considère comme malveillants. Mais il n'y a aucune excuse pour les supprimer, et vous devez avoir le droit de décider à qui accorder une telle confiance (à supposer que vous l'accordiez à quelqu'un).

Censure

Google propose des logiciels de censure, soi-disant pour que les parents les installent dans les ordinateurs de leurs enfants.
Sur Windows et MacOS, Chrome désactive les extensions qui ne sont pas hébergées dans le magasin web de Chrome.

Par exemple, une extension a été bannie du magasin de Chrome et désactivée de manière permanente sur plus de 40 000 ordinateurs.
Google a censuré l'installation du bloqueur de pubs de Samsung sur les téléphones Android en disant que bloquer les pubs revenait à « interférer » avec les sites qui en affichent (et s'en servent pour surveiller les utilisateurs).

Le bloqueur de pubs est un logiciel privateur, tout comme le programme (Google Play) dont Google se servait pour vous empêcher de l'installer. Utiliser un programme non libre donne à son propriétaire du pouvoir sur vous ; c'est ce pouvoir qu'a exercé Google.

La censure de Google, contrairement à celle d'Apple, n'est pas complète. Android permet aux utilisateurs d'installer des applis autrement. Vous pouvez installer des programmes libres provenant de f-droid.org.

DRM

Google permet maintenant aux applis Android de détecter si un appareil a été « rooté » et de refuser de s'installer si c'est le cas.

Mise à jour : c'est intentionnellement que Google a modifié Android pour que les applis puissent détecter les appareils rootés et refuser de fonctionner sur ces derniers. L'appli de Netflix est privatrice et personne ne doit l'utiliser, mais ce qu'a fait Google n'en est pas moins répréhensible.
Chrome met en œuvre la gestion numérique des restrictions, de même que Chromium, à l'aide d'un logiciel non libre intégré.

Pour en savoir plus.
Android a des fonctionnalités spéciales pour gérer les DRM.

Insécurité

Contrairement au reste de la page, ce paragraphe répertorie des bogues qui ne sont pas (n'étaient pas) intentionnels, et donc ne peuvent pas être qualifiés de malveillants. Nous les signalons pour réfuter l'idée préconçue que les logiciels privateurs prestigieux n'ont pas de bogue grave.

La NSA peut aller chercher des données dans les smartphones, que ce soit les iPhones, les Android ou les Blackberry. Bien que l'article soit peu détaillé, il semble que cette opération n'utilise pas la porte dérobée universelle qui, on le sait, se trouve dans presque tous les téléphones portables. Il est possible qu'elle exploite différents bogues. Il y a de plus une multitude de bogues dans le logiciel de radio des téléphones.

Ingérence

Cette section décrit comment certains logiciels de Google importunent ou harcèlent l'utilisateur, ou bien lui causent des ennuis. Cela ressemble à du sabotage, mais le mot « sabotage » est trop fort.

Google est en train de modifier Chromium de telle sorte que les extensions ne puissent plus altérer ni bloquer ce que contient la page. Il est concevable que les utilisateurs annulent ce changement dans un fork de Chromium, mais il est certain que Chrome (non libre) le contiendra également, et là les utilisateurs ne pourront pas l'annuler.

Sabotage

Les injustices décrites dans cette section ne sont pas précisément de la malveillance, car elles ne sous-entendent pas que le programme en fonctionnement soit conçu pour nuire à l'utilisateur. Mais elles y ressemblent beaucoup puisqu'il s'agit d'actions techniques de Google qui font du tort aux utilisateurs de certains programmes de Google.

Revolv est un appareil de l'Internet des objets qui gérait les « maisons intelligentes » : éclairage, détecteurs de mouvements, régulation de température, etc. Le 15 mai 2016, Google a annoncé qu'il supprimerait le service associé à cet appareil, rendant ainsi ce dernier inutilisable.

Bien que vous puissiez être propriétaire de l'appareil, son fonctionnement dépendait d'un serveur qui ne vous a jamais appartenu. Donc vous n'avez jamais vraiment eu la maîtrise de son fonctionnement. Cette conception injuste est appelée service se substituant au logiciel (SaaSS). C'est ce qui a donné à Google le pouvoir de convertir l'appareil en une brique de 300 $ hors garantie pour votre « maison stupide ».
Google/Alphabet a mis en panne intentionnellement les appareils domotiques de la marque Revolv, qui dépendaient d'un serveur pour leur fonctionnement. Tirez-en la leçon, refusez tous ces produits ! Exigez des ordinateurs autonomes faisant tourner des logiciels libres !
Google a depuis longtemps une porte dérobée qui sert à déverrouiller les appareils Android à distance, à moins que leur disque ne soit chiffré (le chiffrement est possible depuis Android Lollipop, mais n'est pas encore activé par défaut).

Surveillance

Les internautes sont invités à laisser Google surveiller ce qu'ils font avec leur téléphone et leur connexion Internet, contre une rémunération extravagante de 20 $.

Il ne s'agit pas d'une fonctionnalité malveillante dans programme conçu pour faire autre chose, mais de la seule raison d'être de ce logiciel, et Google ne s'en cache pas. Toutefois, Google le dit en des termes qui encouragent la plupart des gens à négliger les détails. Voilà pourquoi, à notre avis, il est justifié d'en parler ici.
Certaines applis Android enregistrent la position de l'utilisateur même quand il désactive la géolocalisation.

Il existe des moyens de désactiver les autres modes de localisation, mais la plupart des utilisateurs se font piéger par une configuration trompeuse.
Android fait de la géolocalisation pour Google même quand les « services de localisation » sont désactivés, et même quand le téléphone n'a pas de carte SIM.
La nouvelle appli de messagerie vocale de Google enregistre toutes les conversations.
Google Play (un composant d'Android) suit tous les mouvements de l'utilisateur sans sa permission.

Il n'est pas suffisant de désactiver Google Maps et la géolocalisation pour éviter cette traque ; il faut désactiver complètement Google Play. Voilà encore un exemple de logiciel non libre qui, soi-disant, obéit à l'utilisateur, mais en réalité fait tout autre chose. Ce genre de comportement serait à peu près inimaginable avec du logiciel libre.
Dans Google Chrome, les extensions ont toute facilité pour espionner en détail la navigation de l'utilisateur, et beaucoup ne s'en privent pas.
Google Chrome comprend un module qui active les micros et transmet le signal audio à ses serveurs.
Les thermomètres de Nest envoient au serveur beaucoup de données concernant l'utilisateur.
Google Chrome espionne l'historique du navigateur, les affiliations et les autres logiciels installés.
Des logiciels espions dans les téléphones Android et les ordinateurs portables (sous Windows ?) : le Wall Street Journal (dans un article pourvu d'une barrière à péage) rapporte que le FBI peut activer à distance le GPS et le micro des téléphones Android et des ordinateurs portables (je soupçonne qu'ils parlent des ordinateurs sous Windows) ; voici des informations complémentaires.
Des logiciels espions sont présents dans certains appareils sous Android au moment de l'achat. Certains téléphones Motorola (fabriqués lorsque cette société appartenait à Google) utilisent une version modifiée d'Android qui communique des données personnelles au fabricant.
Un téléphone Motorola est à l'écoute des fréquences vocales en permanence.
Google Play envoie intentionnellement aux développeurs d'applis les données personnelles des utilisateurs qui les installent.

Une simple demande de « consentement » ne suffit pas à légitimer des actions de cette sorte. Les utilisateurs ont depuis longtemps cessé de lire les « conditions d'utilisation » qui spécifient à quoi ils « consentent ». Google doit identifier clairement et honnêtement les renseignements qu'elle collecte à propos des utilisateurs au lieu de les cacher dans des CLUF absconses.

Cependant, pour protéger réellement la vie privée des gens, nous devons en premier lieu empêcher Google et les autres sociétés de récupérer cette information personnelle.
De nombreux sites envoient à Google un rapport sur chacun de leurs visiteurs par le biais de Google Analytics, rapport qui contient son adresse IP et la page visitée.
Google Chrome contient un enregistreur de frappe [keylogger] qui envoie à Google toutes les URL saisies au clavier, un caractère à la fois.

Tyrans

Motorola, lorsqu'elle était une filiale de Google, a fabriqué des téléphones Android qui sont des tyrans (bien que quelqu'un ait trouvé moyen de briser ces restrictions). Fort heureusement, la plupart des appareils Android ne sont pas des tyrans.