Vous avez dit "spyware"

nº86
juillet-août
HORIZONS TECHNOLOGIQUES
TECHNOLOGIES INTERNATIONALES
2002
PROTECTION DES DONNÉES
Vous avez dit
"spyware" ?
DISPONIBLE SUR INTERNET
URL :
Depuis l’avènement du marketing personnalisé ou " one to one " qui
considère tout internaute comme un client potentiel dont il faut maîtriser les habitudes, les différentes stratégies de profilage des internautes bafouent leur vie privée. Même si Jean-Paul Sartre disait " tous
les moyens sont bons quand ils sont efficaces ", ces moyens doivent
néanmoins être conformes aux règles établies par la loi. Malheureusement, après les cookies souvent qualifiés d’innofensifs, la prolifération d’une nouvelle forme de programmes informatiques venimeux
appelés spywares ou espiogiciels, inquiète de plus en plus. Il est donc
vital pour l’internaute de réagir face à l’engouement commercial qui
entoure ces outils invisibles d’atteinte à la vie privée.
es internautes sont
aujourd’hui désemparés face à la
batterie de moyens techniques mis
en place par les sociétés commerciales pour traquer leur parcours.
En effet, une nouvelle forme d'espionnage sévit aujourd'hui sur le
web. Elle a pour préoccupation
d'épier les faits et gestes des internautes dans le but de combler le
manque de face-à-face avec le client
que connaissent la plupart des sociétés commerciales. Ces dernières
utilisent directement, ou par le biais
de tiers, des outils de traçabilité de
l’activité en ligne et des méthodes
d’analyse permettant d’intégrer
dans une base de données le profil de leurs prospects et clients.
Pourquoi se méfier
des spywares ?
À l'origine, le " cookie " constituait l’outil incontournable à la
mise en place de ce traçage. C'est
un fichier se manifestant sous la
forme d’un code-barre informatique, lu par le serveur et permettant l’identification du visiteur
grâce aux données personnelles
communiquées lors de l’enregistrement (nom, adresse, âge, catégorie socio-professionnelle …).
De toute évidence, le profilage qui
s’opère ici s’inscrit dans une logique
de volontariat basée sur une relation établie entre un internaute et
une entreprise.
33
HORIZONS TECHNOLOGIQUES
TECHNOLOGIES INTERNATIONALES
spyware ou espiogiciel
logiciel espion dissimulé dans un logiciel gratuit et destiné à transmettre des informations
à une régie publicitaire
34
nº86
Actuellement, de plus en plus
d’entreprises ne respectent plus
cette relation consensuelle, surtout parce qu’un nombre croissant
d’entre elles basent leur modèle
économique sur l’exploitation de
la confiance et de l’ignorance des
internautes en injectant des systèmes espions dans des machines
pour servir leurs intérêts. Des données personnelles sont donc collectées et stockées à l’insu des
internautes par des spywares*
(" espiogiciels " en français). Ces
mouchards sont présents dans de
nombreux freewares ou sharewares.
Ils s'installent lors du téléchargement et ne sont pas détectables par
l'utilisateur. De fait, lorsqu'un internaute télécharge par exemple un
fichier mp3, il télécharge également le spyware qui lui est associé. En effet, l'éditeur du logiciel
gratuit héberge le mouchard contre
une redevance, une autre forme de
rémunération pour les heures de
programmation passées. Certains
de ces éditeurs signent des contrats
avec de grandes sociétés de marketing telles que la société Cydoor
éditant le spyware le plus célèbre
au monde. Ces contrats attribuent
la moitié des bénéfices engendrés
par la publicité aux créateurs du
logiciel gratuit qui ne prennent pas
toujours la peine d'indiquer clairement la présence d'un espiogiciel. Cependant, cette présence est
généralement certifiée dans les
notices d'utilisations que personne
ne lit, au milieu d'une quantité hallucinante de texte en anglais. Les
spywares contiennent un programme
qui peut déclencher un large éventail d'actions susceptibles de nuire
à l'internaute. À titre d'exemple,
ces actions peuvent consister à
noter les sites visités par un internaute, récupérer les mots clés qu'il
soumet aux moteurs de recherche,
recueillir les informations qu'il saisit dans un formulaire et parfois
juillet-août
2002
même celles concernant ses achats
en ligne (numéro de carte bancaire). Ces pratiques ont bien évidemment pour objectif premier
d'alimenter les bases de données
commerciales afin de contribuer
à la mise en action de publicités
ciblées sur les écrans d'ordinateurs.
On ne s'étonnera donc pas de voir
une fenêtre de publicité s'ouvrant
soudainement sur son écran alors
que l'on visite le site d'un musée.
Bien que le nombre de dommages
énumérés jusqu'ici soient déjà assez
éprouvants, certains spywares peuvent encore aller plus loin en prenant le contrôle de l'ordinateur
cible ou plus couramment en utilisant discrètement la puissance
de calcul de ce dernier.
Où en est la législation ?
En France, il n'existe aucune interdiction juridique sur le profilage.
Rien n'interdit donc à une société
de cybermarketing de vendre à des
tiers les informations à caractère
personnel qu'elle recueille sur les
internautes. Néanmoins, cette même
société ne devra aucunement catégoriser les citoyens suivant des critères d'ordre racial, politique,
sexuel....
À travers la loi du 6 janvier 1978,
le droit français relatif à l'informatique, aux fichiers et aux libertés
intervient sur la finalité du profilage et stipule que la collecte doit
être loyale. En d'autres termes, le
citoyen doit être informé de la collecte de ses données personnelles
et doit pouvoir à tout moment s'opposer à ce profilage. L'internaute
français est donc théoriquement
protégé d'un mauvais traitement de
ses données personnelles.
Au niveau européen, c'est la directive européenne 95/46 qui doit être
appliquée. Elle va dans le sens de
la loi de 1978 puisqu'elle considère
que tout traitement de données à
nº86
caractère personnel doit être effectué licitement et loyalement à l'égard
des personnes concernées et que
les finalités de ces traitements doivent être déterminées lors de la collecte des données.
Au niveau international, il y a le
"Safe Harbor", un accord, proposé
par les Américains à la Commission européenne et établi en juillet
2000, suivant lequel les sociétés
américaines s'engagent à garantir, en cas de captation de données
personnelles d'internautes européens, le même niveau de sécurité
qu'en Europe. Malheureusement,
très peu d'entreprises américaines
l'ont signé et encore moins les
poids lourds comme Microsoft ou
Amazon. Des associations comme
l'EPIC (Electronic Privacy Information Center) ou l'EFF (Electronic Frontier Foundation) ont
engagé une lutte ferme depuis déjà
plusieurs années pour tenter de
protéger les citoyens internautes.
Sous leur pression, DoubleClick,
le leader mondial de la publicité
en ligne, a dû récemment détruire
une part des informations personnelles collectées sur les sites
faisant appel à ses services.
Quelques cas bien connus
D'après plusieurs sites spécialisés
dans la défense de la vie privée,
plus de 1 200 logiciels libres de
droits seraient "infectés" par une
forme ou une autre de spywares.
Babylon Translator, AudioGalaxy,
Cute FTP, EuroConverter 2, Free
MP3, Gator, Zip express 2000, ICQ,
RealJukebox représentent les plus
connus des vecteurs de spywares.
RealJukebox transmettait par
exemple à son éditeur Real Networks une foule d'informations sur
les utilisateurs du logiciel : catégories des titres musicaux joués,
nombre de titres stockés sur le disque
dur de l'utilisateur, nom des albums
juillet-août
HORIZONS TECHNOLOGIQUES
TECHNOLOGIES INTERNATIONALES
2002
écoutés... La découverte et la divulgation de l'existence de ce mouchard ont contraint Real Networks
à éditer une mise à jour exempte
d'espiogiciel.
De la même manière, l'addition de
polémiques fortes ont obligé les
outils phares d'échange de fichiers
audio et video tels que Audiogalaxy et KaZaA, à reviser leur stratégie vis-à-vis des internautes. Dans
le cas de KaZaA, il lui était reproché de détenir un spyware baptisé
Altnet qui déclenchait l'affichage
de publicités dans les fenêtres du
logiciel ainsi que l'exploitation de
la puissance du processeur et l'espace disque de l'internaute. Kazaa
a promis d'avertir les internautes
quant à la présence d'espiogiciel
dans ses versions à venir.
L'un des espiogiciels le plus connus
est édité par la société américaine
éponyme Cydoor. Il serait déjà installé sur plus de 55 millions d'ordinateurs à travers le monde si l'on
se réfère à la page d'accueil du site
de cette société marketing. Avec le
freeware Gator, un assistant virtuel
au remplissage de formulaire en
ligne, 8 millions de surfeurs se
seraient fait piéger par un mouchard
virtuel. Les exemples affluent car
les spywares continuent de proliférer, mais nul ne peut prétendre y
échapper sans engager une véritable chasse aux mouchards.
La voie de l’éradication
Du fait de son installation à l'insu
de l'internaute, un espiogiciel est
difficile à éradiquer puisqu'il faut
d'abord pouvoir identifier sa présence pour savoir si l'on est surveillé,
avant d'implémenter quelque forme
de combat que ce soit. À titre
d'exemple, le forum des droits sur
l'Internet (voir Pour en savoir plus)
présente une fiche pratique permettant d'aider les internautes à repérer
et à combattre les espiogiciels.
35
HORIZONS TECHNOLOGIQUES
TECHNOLOGIES INTERNATIONALES
firewall
dispositif de protection constituant un filtre
entre un réseau local et un autre réseau non
sûr tel que l’Internet ou un autre réseau local.
nº86
En ce qui concerne l'identification
de la présence d'espiogiciels, elle
est aisément assurée soit par certains sites Internet présentant des
actualités ou des revues de presse
sur ces mouchards, soit d'autres diffusant une liste de logiciels gratuits
réputés héberger un intrus, soit
encore à partir d’un moteur de
recherche ou d’un annuaire. Les
plus connus des espiogiciels se nomment Aureate, TimeSink, Cydoor,
Gator, Web3000, Comet Cursor,
Flyswat. Pour combattre ces mouchards, le premier réflexe des internautes est de procéder à la
désinstallation des logiciels responsables de la présence des spywares. Mais attention, car les logiciels
qui les abritent ont la fâcheuse tendance à ne plus fonctionner après
l'intervention. La méthode la plus
sûre est d'utiliser des logiciels spéciaux et dédiés tels que Optout ou
AD-aware v.4.5, téléchargeable sur
www.lavasoft.de. Ce dernier semble
aujourd'hui être le plus performant.
Pour en savoir plus… :
juillet-août
2002
Cet utilitaire gratuit permet de scanner la mémoire de l’ordinateur, la
base de registre et le disque dur
pour détecter et éliminer les spywares connus. Ad-Watch est une
fonctionnalité complémentaire qui
surveille le système en temps réel
pour éviter l'installation de nouveaux spywares.
Une autre possibilité offerte aux
internautes est celle de posséder un
firewall* permettant de se rendre
très vite compte des allées et venues
des mouchards qui tentent d'accéder à Internet à chaque connexion.
Pour les baillonner, il est possible
d'interdire définitivement leur
connexion, afin qu'ils ne puissent
plus délivrer leurs données. Finalement, il faut rester réaliste car il
est difficile d'informer tous les internautes sur les techniques de traçage
existantes et sur la législation en
vigueur. Si tant est que nous laissons des traces à chacun de nos passages sur Internet, il faut néanmoins,
lorsqu’on est conscient de cela, faire
preuve de vigilance en évitant de
donner des informations confidentielles sans connaître précisément
les intentions des responsables des
sites web.
• Spywareinfo, www.spywareinfo.com/
• Spyware Watch, www.spyware.co.uk/
• Spywareonline, www.spywareonline.org/
• Adware & spyware Info, www.adware.info/
• SpywareBiz, www.spyware.biz/
• Anti Spy, www.anti-spy.com
• Spychecker, www.spychecker.com/spyware.html,
• Lavasoft, www.lavasoftusa.com/
•
•
•
•
•
GRC, grc.com/optout.htm
CEXX, www.cexx.org/adware.htm
www.tom-cat.com/spybase/spylist.html
www.anonymat.org/
Secuser, http://www.secuser.com/
• Forum des droits sur l’internet,
www.foruminternet.org
• CNIL, www.cnil.fr
• Directive européenne 95/46/CE
europa.eu.int/comm/internet_market/fr/dataprot/law
36
Alfred Metou