[Traduit de l'anglais]

Portes dérobées du logiciel privateur


Le logiciel non libre (privateur) est très souvent malveillant (conçu pour maltraiter les utilisateurs). Il est contrôlé par ses développeurs, ce qui les met en position de pouvoir vis-à-vis des utilisateurs ; c'est l'injustice de base. Les développeurs et les fabricants exercent souvent ce pouvoir au détriment des utilisateurs qu'ils devraient servir.

Cela prend habituellement la forme de fonctionnalités malveillantes.


Certaines fonctionnalités malveillantes font intervenir des portes dérobées. Voici des exemples de programmes privateurs qui en contiennent une ou plusieurs, classées d'après ce qu'elles ont le pouvoir de faire. Les portes dérobées qui permettent de prendre totalement le contrôle des programme qui les contiennent sont dites « universelles ».

Si vous avez connaissance d'un exemple qui devrait se trouver sur cette page mais n'y figure pas, n'hésitez pas à écrire à <webmasters@gnu.org> pour nous en informer. Merci de fournir les URL d'une ou deux références fiables et spécifiques pour l'étayer.

Espionner

  • 2020-08

    Google Nest est en train de prendre le contrôle d'ADT. Google a envoyé sur ses enceintes connectées (en utilisant une porte dérobée) une mise à jour qui leur permet d'écouter des bruits du genre alarme incendie, puis d'envoyer une notification sur votre téléphone si une alarme se met en route. Cela signifie que ces appareils peuvent désormais réagir à d'autres bruits que la seule « phrase de réveil ». Google dit que la mise à jour a été envoyée prématurément et par accident, et qu'il était prévu de dévoiler cette nouvelle fonctionnalité en la proposant aux clients qui acceptent de la payer.

  • 2017-06

    De nombreux modèles de caméras connectées contiennent une porte dérobée caractérisée. Elles ont des comptes utilisateurs avec des mots de passe codés en dur, non modifiables, et qui ne peuvent pas non plus être supprimés.

    Puisque ces comptes avec mots de passe codés en dur sont impossibles à supprimer, il ne s'agit pas seulement d'insécurité ; il s'agit d'une porte dérobée qui peut être utilisée par le fabricant (et le gouvernement) pour espionner les utilisateurs.

  • 2017-01

    WhatsApp possède une fonctionnalité qui a été décrite comme une « porte dérobée » car elle permet aux gouvernements d'annuler son chiffrement.

    Les développeurs disent que ce n'était pas prévu pour être une porte dérobée et ils peuvent très bien avoir raison. Mais il reste une question cruciale : est-ce que cette porte dérobée est vraiment opérationnelle ? Puisque le programme n'est pas libre, nous ne pouvons pas le vérifier en l'étudiant.

  • 2015-12

    Microsoft a mis une porte dérobée dans le chiffrement des disques.

  • 2014-09

    Apple peut – et elle le fait régulièrement – extraire à distance certaines données des iPhones pour l'État.

    Il y a peut-être du progrès avec iOS 8, qui a une sécurité améliorée, mais pas autant que le prétend Apple.

Altérer les données ou préférences de l'utilisateur

Installer, supprimer ou désactiver des programmes

  • 2020-12

    Le Flash Player d'Adobe a une porte dérobée universelle qui permet à cette société de contrôler le logiciel et, par exemple, de l'inactiver si elle le souhaite. Adobe va bloquer la lecture des fichiers Flash par le Flash Player à partir du 12 janvier 2021, ce qui prouve qu'Adobe a effectivement accès à chacun des lecteurs Flash par une porte dérobée.

    Cette porte dérobée ne sera plus une menace à l'avenir, puisqu'elle permettra d'inactiver un programme privateur et poussera ses utilisateurs à le supprimer, mais elle a constitué une injustice pendant des années. Les utilisateurs auraient dû se débarrasser du Flash Player bien avant sa fin de vie.

  • 2020-07

    BMW essaie de verrouiller certaines fonctionnalités de ses voitures et de forcer leurs propriétaires à payer pour utiliser des parties de la voiture qu'ils ont déjà achetées. Et ceci, au moyen d'une mise à jour forcée du logiciel de la voiture par une porte dérobée radio-commandée.

  • 2019-08

    Une appli très populaire de Google Play contenait un module conçu pour installer furtivement un logiciel malveillant sur l'ordinateur de l'utilisateur. Les développeurs de l'appli s'en servaient régulièrement pour forcer l'ordinateur à télécharger et exécuter le code de leur choix.

    Voilà un exemple concret de ce que à quoi s'exposent les utilisateurs d'une appli non libre. Ils ne peuvent jamais être complètement sûrs qu'elle est sans danger.

  • 2019-07

    Apple semble dire que MacOS possède une porte dérobée permettant de mettre à jour certaines applis, sinon toutes.

    Le changement particulier décrit dans cet article n'était pas malveillant (il évitait aux utilisateurs d'être espionnés par des tiers) mais c'est un autre problème.

  • 2018-11

    Corel Paintshop Pro a une porte dérobée qui peut le mettre hors service.

    Cet article est rempli de confusions, d'erreurs et de partis pris que nous sommes dans l'obligation de dénoncer, étant donné que nous les mettons en lien.

    • L'obtention d'un brevet ne « permet » pas à une société de faire une chose en particulier avec ses produits. Ce que cela lui permet de faire, c'est de poursuivre d'autres sociétés devant les tribunaux si elles font une chose particulière avec leurs produits.
    • La politique d'une société qui détermine quand elle attaquera ses utilisateurs à travers une porte dérobée n'a aucun rapport avec la question. Le simple fait d'insérer une porte dérobée est répréhensible. Il en va de même pour son utilisation. Aucun développeur de logiciel ne doit avoir ce pouvoir sur ses utilisateurs.
    • La « piraterie » se définit comme l'attaque de navires. L'emploi de ce mot pour désigner le partage de copies est du dénigrement. Ne salissez pas le partage.
    • L'idée de « protéger notre propriété intellectuelle » est de la confusion totale. Le terme « propriété intellectuelle » est lui-même une généralisation vide de sens à propos de choses qui n'ont rien en commun.

      De plus, parler de « protéger » cette généralisation vide de sens ajoute l'absurdité à la vacuité. C'est comme si vous appeliez la police parce que les enfants du voisin sont en train de jouer sur votre pelouse, en disant que vous « protégez la limite de votre propriété ». Les enfants du voisin ne peuvent pas faire de mal à la limite de votre propriété, pas même avec un marteau piqueur, parce que c'est une abstraction qui n'est pas affectée par les actions physiques.

  • 2018-04

    Certains téléviseurs « intelligents » téléchargent automatiquement des mises à jour régressives qui installent une appli de surveillance.

    Nous mettons cet article en lien pour les faits qu'ils présentent. C'est dommage que dans sa conclusion il conseille de céder aux sirènes de Netflix. L'appli de Netflix est malveillante également.

  • 2015-11

    La bibliothèque Android privatrice de Baidu (Moplus) a une porte dérobée qui peut « uploader des fichiers » et aussi installer des applis de force.

    Elle est utilisée par 14 000 applications Android.

  • 2011-12

    En plus de sa porte dérobée universelle, Windows 8 a une porte dérobée pour supprimer des applications à distance.

    Vous pouvez parfaitement décider de laisser un service de sécurité en qui vous avez confiance désactiver les programmes qu'il considère comme malveillants. Mais il n'y a aucune excuse pour les supprimer, et vous devez avoir le droit de décider si vous devez vous en remettre à quelqu'un pour cela, et à qui.

  • 2011-03

    Dans Android, Google a une porte dérobée qui lui permet de supprimer des applications à distance (elle est dans un programme appelé GTalkService qui semble, depuis la parution de cet article, avoir été intégré à Google Play).

    Google peut aussi installer des applis, de force et à distance au moyen de GTalkService. Ce n'est pas l'équivalent d'une porte dérobée universelle, mais cela rend possibles divers mauvais coups.

    Bien que l'exercice de ce pouvoir par Google n'ait pas été malfaisant jusqu'à présent, le fait est que personne ne doit posséder un tel pouvoir, car il pourrait aussi être utilisé de manière malfaisante. Vous pourriez parfaitement décider de laisser un service de sécurité désactiver à distance les programmes qu'il considère comme malveillants. Mais il n'y a aucune excuse pour les supprimer, et vous devez avoir le droit de décider à qui accorder une telle confiance (à supposer que vous l'accordiez à quelqu'un).

  • 2008-08

    L'iPhone a une porte dérobée qui permet à Apple de supprimer à distance les applications qu'elle estime « inappropriées ». D'après ce que disait Jobs, il est acceptable qu'Apple possède ce pouvoir, car naturellement nous pouvons lui faire confiance.

Contrôle total

Autre ou indéterminé

L'EFF donne d'autres exemples de l'utilisation de portes dérobées.