[Traduit de l'anglais]

Insécurité du logiciel privateur


Le logiciel non libre (privateur) est très souvent malveillant (conçu pour maltraiter les utilisateurs). Il est contrôlé par ses développeurs, ce qui les met en position de pouvoir vis-à-vis des utilisateurs ; c'est l'injustice de base. Les développeurs et les fabricants exercent souvent ce pouvoir au détriment des utilisateurs qu'ils devraient servir.

Cela prend habituellement la forme de fonctionnalités malveillantes.


Cette page répertorie des failles de sécurité de logiciels privateurs, failles clairement établies qui ont de graves conséquences ou méritent d'être mentionnées pour d'autres raisons. Bien que la plupart de ces failles soient involontaires, et donc ne constituent pas à proprement parler des fonctionnalités malveillantes, nous les signalons pour montrer que le logiciel privateur n'offre pas autant de sécurité que le prétendent les média.

Cela ne signifie pas que le logiciel libre est immunisé contre les bogues. La différence entre les logiciels libres et privateurs à cet égard réside dans le traitement des failles de sécurité : les utilisateurs de programmes libres ont la possibilité de les étudier et éventuellement de corriger les bogues qu'ils trouvent (souvent au sein d'une communauté puisqu'ils peuvent se communiquer le programme), alors que les utilisateurs de programmes privateurs sont forcés de s'en remettre au développeur pour les corrections.

Si le développeur ne s'occupe pas du problème (ce qui est souvent le cas pour les systèmes embarqués et les anciennes versions), les utilisateurs n'ont pas de recours. Et même si le développeur publie une version corrigée, elle peut contenir de nouvelles fonctionnalités malveillantes en plus des corrections.

Si vous avez connaissance d'un exemple qui devrait se trouver sur cette page mais n'y figure pas, n'hésitez pas à écrire à <webmasters@gnu.org> pour nous en informer. Merci de fournir les URL d'une ou deux références fiables et spécifiques pour l'étayer.

Vulnérabilité induite par l'UEFI

L'UEFI rend les ordinateurs vulnérables à des menaces persistantes sophistiquées qui sont à peu près impossibles à détecter une fois installées. Voici quelques détails techniques.

Kaspersky a découvert cet exemple par hasard, mais n'a pas de méthode générale pour tester la présence de rootkits similaires dans les ordinateurs.

Le logiciel non libre ne sécurise pas votre ordinateur. Bien au contraire, il vous empêche d'essayer de le sécuriser. L'UEFI est un programme non libre nécessaire au démarrage qui est impossible à remplacer; en fait, c'est un rootkit de bas niveau. Tout ce que fait Intel pour contrer vos essais d'échapper à son pouvoir protège également les rootkits infectant l'UEFI.

Au lieu de permettre à Intel, AMD, Apple et peut-être ARM d'imposer la sécurité par la tyrannie, nous devrions faire adopter une loi qui les oblige à laisser les utilisateurs installer le logiciel de démarrage de leur choix et à rendre disponible l'information nécessaire à son développement – une sorte de droit de réparer au niveau de l'initialisation.