[Traduit de l'anglais]

Malveillance de divers appareils


Le logiciel non libre (privateur) est très souvent malveillant (conçu pour maltraiter les utilisateurs). Il est contrôlé par ses développeurs, ce qui les met en position de pouvoir vis-à-vis des utilisateurs ; c'est l'injustice de base. Les développeurs et les fabricants exercent souvent ce pouvoir au détriment des utilisateurs qu'ils devraient servir.

Cela prend habituellement la forme de fonctionnalités malveillantes.


Si vous avez connaissance d'un exemple qui devrait se trouver sur cette page mais n'y figure pas, n'hésitez pas à écrire à <[email protected]> pour nous en informer. Merci de fournir les URL d'une ou deux références fiables et spécifiques pour l'étayer.

Ne vous fiez pas aux appareils « connectés »

La plupart des appareils mentionnés ici sont « connectés »; ils essaient de communiquer par Internet avec quelqu'un d'autre que leur propriétaire en titre, en général une entreprise. Ces appareils sont fondamentalement non fiables : quelle que soit l'entreprise, vous ne devez jamais leur accorder une telle confiance.

Les appareils qui nous occupent contiennent du logiciel, presque toujours non libre. Ils est raisonnable de le considérer comme équivalent à un ensemble de circuits à condition qu'il ne soit jamais modifié (pas même si la modification est présentée comme une « mise à niveau »).

Dans un appareil connecté, il est difficile de s'assurer que le logiciel ne sera pas modifié. Un appareil connecté a généralement une porte dérobée universelle, c'est-à-dire une fonctionnalité qui permet au fabricant de remplacer le logiciel par Internet. Il peut y avoir des exceptions, mais nous ne pourrons jamais vérifier qu'un appareil donné est une exception. Ainsi, nous ne pouvons donc pas être sûrs que le logiciel ne sera pas modifié.

En pratique, ces « mises à niveau » s'apparentent à du sabotage. Supposons par exemple que votre imprimante accepte les cartouches d'encre non homologuées par le fabricant. Vous n'avez aucune garantie que le fabricant n'installera pas un jour ou l'autre du code malveillant qui les rejettera. La machine étant connectée, vous devez vous y attendre.

Le fabricant peut essayer de justifier ces « mises à niveau » par la « sécurisation ». Vous pouvez répondre par ces questions : « Sécurisation pour qui ? Pour moi ou pour le fabricant, contre moi ? » Si le fabricant écrit le programme, en pratique il le sécurise pour lui-même, contre ses clients.

Même sans modifier le code, l'entreprise peut utiliser la « connexion » pour vous faire du tort ; par exemple pour vous espionner, vous, votre famille et vos invités, ou bien pour mettre l'appareil à l'arrêt.

Pour prévenir les abus de cette sorte, le moyen le plus sûr est d'empêcher l'appareil de communiquer par Internet avec autre chose que votre propre ordinateur (que vous pouvez sécuriser en utilisant exclusivement du logiciel libre).

Dans un monde idéal, les appareils contiendraient du logiciel 100 % libre, de sorte que notre communauté pourrait corriger les problèmes qui pourraient éventuellement se faire jour. Le logiciel libre nous obéirait à nous, pas aux entreprises. Il ne laisserait personne le modifier sans saisir un mot de passe que le propriétaire aurait choisi.

Exemples de malveillance dans divers appareils

  • 2023-12

    Des caméras de surveillance placées par le gouvernement A pour son propre usage peuvent également surveiller pour le gouvernement B, ceci parce que A installe un produit fabriqué par B avec du logiciel non libre.

    (Notez que cet article utilise le terme « hack » pour du « piratage informatique ».)

  • 2023-11

    En Australie, les gens partent du principe qu'« intellligent » (smart) veut dire « ancré à un serveur ». Quand leur connexion tombe en panne tous les appareils ancrés à des serveurs deviennent inutiles.

    … Sans compter les choses désagréables que font les appareils connectés lorsqu'ils « fonctionnent » normalement, comme d'espionner les commandes qui leur sont envoyées et les résultats qu'ils renvoient.

    Les utilisateurs intelligents savent bien qu'il ne faut pas accepter les appareils connectés.

  • 2023-11

    Le groupe Chamberlain empêche ses clients d'utiliser des logiciels tiers avec ses ouvre-portes de garage. C'est une attaque intentionelle contre le logiciel libre. De plus, l'appli mobile privatrice associée aux ouvre-portes est infestée de pubs, y compris pour les autres services et gadgets de Chamberlain.

  • 2023-09

    Philips Hue, le système domotique le plus répandu aux États-Unis, projette pour bientôt de forcer les utilisateurs à s'inscrire sur le serveur de l'appli pour pouvoir contrôler leur ampoules lumineuses ou utiliser d'autres fonctionnalités, ce qui équivaut à une capture monumentale de données de traçage.

  • 2023-09

    Les caméras de surveillance Google Nest sont connectées aux serveurs de Google 24 heures sur 24 et 7 jours sur 7, et requièrent un abonnement (ce qui constitue une injustice pour leurs utilisateurs). L'article décrit comment Google a augmenté le prix de ses services, en particulier le stockage des vidéos dans le « cloud » (autre façon de désigner le serveur de quelqu'un d'autre).

  • 2023-08

    Certaines imprimantes 3D de Bambu Lab ont commencé à imprimer sans le consentement des utilisateurs par suite d'une panne des serveurs auxquelles elle étaient ancrées. Ceci a causé des dégâts importants.

  • 2023-07

    Les voitures autonomes de San Francisco collectent des vidéos en permanence en utilisant des caméras intérieures et extérieures, et il est déjà arrivé que des gouvernements récupèrent secrètement ces vidéos.

    Comme le souligne le Surveillance Technology Oversight Project (Projet de contrôle des technologies de surveillance), elles nous « conduisent droit à l'autoritarisme ». Nous devons réglementer l'utilisation de toutes les caméras capables de pister les gens, pour faire en sorte qu'elles ne servent pas à cela.

  • 2023-05

    HP livre des imprimantes avec une porte dérobée universelle qui a été récemment utilisée pour les saboter en y installant à distance un logiciel malveillant. Ce maliciel oblige l'imprimante à refuser les cartouche d'encre non homologuées par HP, ainsi que les vieilles cartouche dont HP dit maintenant qu'elles ont « expiré ». HP donne le nom de « sécurité dynamique » à la porte dérobée et déclare sans vergogne que cette « sécurité » protège les utilisateurs contre les logiciels malveillants.

    Si vous possédez une imprimante HP qui peut encore utiliser des cartouches non homologuées, nous vous exhortons à la déconnecter d'Internet. Ceci garantira que HP ne peut pas la saboter par une « mise à jour » de son logiciel.

    Notez comment l'auteur de l'article répète naïvement l'affirmation de HP selon laquelle la « sécurité dynamique » protège les utilisateurs contre les logiciels malveillants, sans se rendre compte que l'article démontre le contraire.

  • 2023-05

    Le contrôle des thermostats connectés d'Honeywell avec l'appli dédiée s'est révélé aléatoire en raison de problèmes de connexion récurrents avec les serveurs dont ils dépendent.

  • 2022-09

    B-CAS [1] est le système de gestion numérique des restrictions (DRM) utilisé par les chaînes de télévision japonaise, y compris NHK (chaîne de service public). Il est vendu par la société B-CAS, qui en a le monopole de fait. Conçu à l'origine pour les chaînes payantes, il a été étendu aux chaînes gratuites pour restreindre l'usage des œuvres sous copyright. Le système chiffre les œuvres en libre distribution aussi bien que les autres, ce qui prive les utilisateurs de leurs droits.

    Du côté client, B-CAS est typiquement implémenté par une carte qui s'insère dans un récepteur compatible, ou bien par une carte tuner pour ordinateur. Outre les restrictions qu'elle impose à la reproduction et au visionnage des programmes, ce système donne aux diffuseurs les pleins pouvoirs sur les utilisateurs, entre autres au moyen de portes dérobées. Par exemple :

    • Il peut afficher de force sur l'écran des messages que l'utilisateur ne peut pas supprimer.
    • Il peut collecter des données d'audimat et les communiquer à d'autres sociétés pour faire des statistiques. Jusqu'à 2011, les utilisateurs devaient s'inscrire ; les données d'audimat étaient donc nominatives. Nous ne savons pas si ces informations personnelles ont été supprimées des serveurs de B-CAS après 2011.
    • Chaque carte a un numéro d'identification qui permet aux diffuseurs d'envoyer des mises à jour personnalisées, sans l'accord du client, par la porte dérobée qui sert habituellement à mettre à jour la clé de déchiffrement. Ainsi les diffuseurs de chaînes payantes peuvent désactiver le déchiffrement du flux vidéo si l'abonnement n'a pas été payé à temps. Cette fonctionnalité pourrait aussi être utilisée par n'importe quel diffuseur (peut-être sur ordre du gouvernement) pour empêcher certaines personnes de regarder la télévision.
    • L'exportation des cartes B-CAS étant illégale, les gens qui vivent dans les pays limitrophes du Japon ne peuvent pas (officiellement) déchiffrer les chaînes satellites qui pourraient leur parvenir. Ils sont ainsi privés d'une source d'information précieuse sur ce qui se passe au Japon.

    Ces restrictions inacceptables ont conduit à une sorte de jeu du chat et de la souris, où certains utilisateurs s'efforcent de contourner le système tandis que les diffuseurs essayent de les en empêcher avec un succès mitigé : les clés de déchiffrement ont été récupérées par la porte dérobée de la carte B-CAS, des cartes illégales ont été fabriquées et vendues au marché noir, ainsi qu'un tuner pour PC qui désactive le contrôle de la reproduction.

    Alors que les cartes B-CAS sont toujours en service sur les appareils anciens, les téléviseurs modernes haute définition ont une version encore plus agressive de ce DRM, appelée ACAS, dans une puce spéciale intégrée au récepteur. Cette puce peut mettre à jour son propre logiciel à partir des serveurs de la société, même si le récepteur est éteint (mais toujours branché sur le secteur). Cette fonctionnalité pourrait être détournée pour désactiver les programmes enregistrés avec lesquelles le pouvoir en place n'est pas d'accord, ce qui serait une atteinte à la libre expression.

    Comme elle fait partie du récepteur, la puce ACAS est censée être inaltérable. On verra à l'usage…

    [1] Nous remercions le libriste qui a traduit cet article du japonais et nous a fait partager son expérience de B-CAS. (Malheureusement, l'article présente la gestion numérique des restrictions comme une bonne chose.)

  • 2022-08

    Certaines imprimantes Epson sont programmées pour arrêter de fonctionner quand elles ont imprimé un nombre prédéterminé de pages, sous prétexte que les tampons encreurs sont saturés d'encre. Cela constitue une atteinte inacceptable à la liberté de l'utilisateur d'utiliser son imprimante comme il le souhaite et à son droit de la réparer.

  • 2022-04

    Les téléviseurs « intelligents » modernes conduisent les gens à se soumettre au traçage par Internet. Certains ne fonctionnent pas tant qu'ils n'ont pas l'occasion de télécharger du logiciel non libre et ils sont conçus pour l'obsolescence programmée.

  • 2022-02

    Hewlett-Packard implémente la gestion numérique des restrictions dans ses imprimantes pour qu'elles refusent d'imprimer avec les cartouches d'encre d'un autre fournisseur.

  • 2022-02

    Dymo intègre maintenant un DRM à ses rouleaux d'étiquettes pour que ses étiqueteuses rejettent les rouleaux équivalents fournis par d'autres fabricants, ceci au moyen d'une puce RFID qui enregistre le nombre d'étiquettes restant sur le rouleau et bloque l'impression quand le rouleau est vide. On a là une moyen efficace d'empêcher l'utilisation de la même puce pour imprimer des étiquettes fournies par d'autres.

  • 2022-01

    Les fabricants de téléviseurs « intelligents » espionnent les gens par diverses méthodes pour collecter des données sur eux (audio, vidéo, utilisation du téléviseur) afin de les profiler.

  • 2021-11

    NordicTrack, une société qui vend des appareils d'exercice physique ayant la capacité de montrer des vidéos limite ce que les gens peuvent regarder et a récemment désactivé une fonctionnalité qui, à l'origine, était active. Ceci s'est produit à l'occasion d'une mise à jour, probablement au moyen d'une porte dérobée universelle.

  • 2021-08

    Les téléviseurs récents de Samsung ont une porte dérobée qui permet au fabricant de les flinguer à distance.

  • 2021-01

    La plupart des appareils connectés répertoriés par Mozilla dans la liste « confidentialité non incluse » sont conçus pour espionner l'utilisateur, même s'ils satisfont aux « normes minimum de sécurité » de Mozilla. De plus, la sécurité est mal prise en compte dans la conception de ces appareils, ce qui rend les utilisateurs vulnérables à l'espionnage et à l'exploitation de failles par des pirates informatiques.

  • 2020-11

    Les routeurs wifi Wavelink et JetStream ont des portes dérobées universelles qui permettent à des personnes non authentifiés, non seulement de les contrôler à distance, mais aussi de contrôler n'importe quel appareil connecté au réseau. Il est prouvé que cette vulnérabilité est activement exploitée.

    Si vous envisagez d'acheter un routeur, nous vous invitons à en choisir un qui fonctionne avec du logiciel libre. Toute tentative d'y introduire une fonctionnalité malveillante (par exemple à l'occasion d'une mise à jour du micrologiciel) sera détectée par la communauté et vite corrigée.

    Si malheureusement vous possédez un routeur qui fonctionne avec du logiciel privateur, pas de panique ! Il est peut-être possible de remplacer son micrologiciel avec un système d'exploitation libre comme libreCMC. Si vous ne savez pas comment faire, vous pouvez trouver de l'aide auprès d'un groupe d'utilisateurs GNU/Linux de votre région.

  • 2020-07

    Les lunettes connectées Focals, avec leur micro espion, ont été éliminées. Google les a éliminées en achetant leur fabricant et en le faisant fermer. Il a également arrêté le serveur dont ces appareils dépendaient, ce qui a mis hors service les lunettes déjà vendues.

    C'était peut-être une bonne chose de supprimer cet appareil – au lieu de « connecté », lire « espion ». Cependant, Google n'a pas fait ça par souci de confidentialité, mais plutôt afin d'éliminer la concurrence pour son propre appareil espion.

  • 2020-07

    L'appareil de cuisson sous vide Mellow est couplé à un serveur. Cette société a soudainement transformé ce simple ancrage en un abonnement qui interdit aux utilisateurs de profiter des « fonctionnalités avancées » à moins de payer une cotisation mensuelle.

  • 2020-06

    Les fabricants de téléviseurs peuvent espionner chaque seconde de ce que l'utilisateur regarde. La loi de 1988 sur la protection de la vie privée dans la location et la vente de vidéos (Video Privacy Protection Act) rend ceci illégal aux États-Unis, mais ils la contournent avec leurs conditions générales d'utilisation.

  • 2020-06

    Une faille de sécurité désastreuse touche des millions de produits connectés.

    De ce fait, n'importe qui peut attaquer l'utilisateur, pas seulement le fabricant.

  • 2020-05

    Wink vend une centrale domotique « intelligente » ancrée à un serveur. En mai 2020, cette société a ordonné à aux acheteurs de commencer à payer un abonnement mensuel pour l'usage de ce serveur. À cause de l'ancrage, la centrale est inutilisable sans celui-ci.

  • 2020-01

    L'appli de la sonnette Ring espionne pour Amazon, mais aussi pour d'autres sociétés.

  • 2019-12

    Les entreprises technologiques ajoutent des micros à une large gamme de produits, y compris à des réfrigérateurs et des véhicules, et en parallèle elles installent des usines à transcription où des employés humains écoutent ce que les gens disent et ajustent les algorithmes de reconnaissance.

  • 2019-11

    Ring, la sonnette connectée d'Amazon, avait une faille de sécurité qui permettait à des attaquants d'accéder au mot de passe wifi de l'utilisateur et d'espionner la maisonnée au travers d'appareils de surveillance connectés.

    La connaissance du mot de passe wifi ne serait pas suffisante pour espionner de manière significative si ces appareils étaient munis de dispositifs de sécurité adéquats comme le chiffrement. Mais de nombreux appareils fonctionnant avec du logiciel privateur en sont dépourvus. Bien entendu, ils sont aussi utilisés par leur fabricants pour commettre des indiscrétions.

  • 2019-09

    Best Buy a mis sur le marché des appareils contrôlables à distance, puis a arrêté le service qui permettait de les contrôler.

    Best Buy a reconnu que cela faisait du tort à ses clients et a offert de rembourser les appareils concernés. Il n'en reste pas moins que l'amarrage d'un appareil à un serveur donné est une entrave et une forme de harcèlement pour les utilisateurs. Le logiciel non libre de l'appareil est ce qui empêche les utilisateurs de couper l'amarre.

  • 2019-04

    Les robots-jouets Jibo dépendaient du serveur du fabricant. Ce dernier ayant arrêté son serveur, les robots sont devenus inutilisables.

    Paradoxalement, cette fermeture pourrait être bonne pour les utilisateurs, car ce produit était conçu pour manipuler les gens en simulant des émotions et très certainement les espionnait.

  • 2019-03

    Le supermarché britannique Tesco a vendu des tablettes qui devaient se connecter à un serveur de Tesco pour restaurer les réglages par défaut. Tesco a cessé d'offrir ce service pour les modèles anciens, de sorte que si on essaie de réinstaller les réglages par défaut, la tablette devient inutilisable.

  • 2019-03

    Le protocole « Conexus » de télémétrie, conçu par Medtronics, contient deux vulnérabilités qui affectent plusieurs modèles de défibrillateurs implantables et les appareils auxquels ils se connectent.

    Ce protocole existe depuis 2006 et des vulnérabilités similaires ont été découvertes en 2008 dans un protocole de communication plus ancien de Medtronics. Cela montre qu'on ne peut pas faire confiance aux développeurs de logiciel privateur pour corriger les bogues de leurs programmes.

  • 2019-02

    La sonnette vidéo de Ring est conçue pour que le fabricant (maintenant Amazon) puisse regarder en permanence. En fait, il se trouve que n'importe qui peut en faire autant, et peut également falsifier les vidéos.

    La vulnérabilité à des attaques extérieures est vraisemblablement involontaire et il est probable qu'Amazon la corrigera. Cependant nous ne pensons pas qu'Amazon changera la conception de l'appareil, qui lui permet, à elle, de regarder.

  • 2019-02

    Les cartouches HP pour forfait d'impression ont un DRM qui communique en permanence avec les serveurs de HP pour s'assurer que l'utilisateur continue à payer son abonnement et n'a pas imprimé plus de pages que prévu.

    Bien que ce forfait d'impression puisse être source d'économies dans certains cas particuliers, il implique l'espionnage de l'utilisateur, ainsi que des restrictions inacceptables dans l'utilisation de cartouches d'encre par ailleurs en état de marche.

  • 2019-01

    Les dispositifs de « sécurité » de Ring envoient leurs enregistrements vidéo aux serveurs d'Amazon, qui les sauvegardent sur le long terme.

    Très souvent, la vidéo montre tous les gens qui s'approchent de la porte d'entrée, ou même de simples passants.

    L'article s'intéresse surtout à la manière dont Ring laissait certains employés regarder librement les vidéos. Il semble qu'Amazon ait essayé d'empêcher cet abus secondaire. Quant à l'abus primaire (le fait qu'elle obtienne les vidéos), Amazon compte bien que le public s'y soumettra.

  • 2019-01

    Les téléviseurs Vizio collectent « tout ce que voit le téléviseur » – ce sont les termes employés par le directeur technique de cette société – et ces données sont vendues à des tiers. La contrepartie est un « meilleur service » (c'est-à-dire plus de pubs intrusives ?) et un prix de vente légèrement plus bas.

    Ce qui est censé rendre cet espionnage acceptable, selon lui, c'est qu'il est désactivé par défaut dans les modèles récents. Mais puisque le logiciel de ces téléviseurs est non libre, nous ne savons pas ce qui se passe vraiment en coulisses et il n'y a aucune garantie que les mises à jour à venir ne changeront jamais la configuration.

    Si vous possédez déjà un téléviseur Vizio « intelligent » (ou n'importe quel autre téléviseur « intelligent », d'ailleurs), le moyen le plus simple d'être sûr qu'il ne vous espionne pas est de le déconnecter d'Internet et d'utiliser une antenne hertzienne. Malheureusement, ce n'est pas toujours possible. Une autre option, si la technique ne vous rebute pas, est d'installer votre propre routeur avec un pare-feu qui bloque les connexions aux serveurs de Vizio. Et en dernier ressort, vous pouvez toujours remplacer votre téléviseur par un autre modèle.

  • 2018-10

    Presque toutes les « caméras de sécurité pour la maison » donnent au fabricant une copie non chiffrée de tout ce qu'elles voient. Il vaudrait mieux les appeler « caméras d'insécurité pour la maison » !

    Quand Consumer Reports les a testées, ils ont suggéré que ces fabricants promettent de ne pas regarder ce qu'il y a sur les vidéos. Ce n'est pas ça, la sécurité de votre maison. La sécurité, c'est de s'assurer qu'ils n'auront pas la possibilité de regarder à travers votre caméra.

  • 2018-10

    Les fabricants d'imprimantes ont l'esprit inventif… lorsqu'il s'agit d'interdire l'usage de cartouches de remplacement non officielles. Leurs « mises à niveau de sécurité » imposent de temps à autre de nouvelles formes de DRM pour les cartouches. HP et Epson le font.

  • 2018-09

    Les thermostats « intelligents » d'Honeywell communiquent par l'intermédiaire du serveur de la société. Ils ont toutes les caractéristiques de ce genre d'appareil : surveillance et risque de sabotage (d'un utilisateur particulier ou de tous les utilisateurs en même temps), sans compter le risque de panne du serveur (c'est ce qui vient d'arriver).

    De plus, le réglage de la température se fait au moyen d'un logiciel non libre. Avec un thermostat traditionnel, on peut le faire directement sur le thermostat.

  • 2018-09

    Des chercheurs ont découvert un moyen de cacher des commandes vocales dans d'autres flux audio. Elles sont inaudibles pour les humains, mais Alexa et Siri peuvent les entendre.

  • 2018-07

    Le « traqueur d'activité » de Jawbone était couplé à une appli mobile privatrice. En 2017, la société a fermé et a rendu l'appli inopérante. Tous les traqueurs existants ont cessé de fonctionner pour toujours.

    Cet article souligne un effet pervers supplémentaire, à savoir que les ventes d'appareils inutilisables ont continué. Mais nous pensons que c'est secondaire ; cela a simplement étendu le préjudice à quelques autres personnes. La faute première, c'est d'avoir conçu des appareils dépendants d'une chose extérieure qui ne respecte pas la liberté des utilisateurs.

  • 2018-04

    Une compagnie d'assurance santé offre une brosse à dents électronique gratuite qui espionne ses utilisateurs en renvoyant des données sur son usage par Internet.

  • 2018-04

    Certains téléviseurs « intelligents » téléchargent automatiquement des mises à jour régressives qui installent une appli de surveillance.

    Nous mettons cet article en lien pour les faits qu'ils présentent. C'est dommage que dans sa conclusion il conseille de céder aux sirènes de Netflix. L'appli de Netflix est malveillante également.

  • 2018-02

    Les appareils d'Apple enferment les utilisateurs dans les services gérés par Apple, car ils sont conçus pour être incompatibles avec toutes les autres options, éthiques ou non.

  • 2017-12

    L'un des risques de « l'Internet des dangers » est que, si votre service Internet vous lâche, vous perdez le contrôle de vos appareils domotiques.

    Par mesure de sécurité, n'utilisez pas d'appareil connecté à Internet.

  • 2017-11

    Amazon a récemment invité ses clients à se faire pigeonner en permettant aux livreurs d'ouvrir leurs portes d'entrée. Et vous savez quoi ? Le système a une énorme faille de sécurité.

  • 2017-11

    Un accessoire sexuel contrôlé à distance s'est révélé enregistrer la conversation entre les deux utilisateurs.

  • 2017-11

    Logitech va saboter tous les dispositifs Harmony Link de contrôle domotique en arrêtant le serveur au travers duquel les supposés propriétaires de ces appareils communiquent avec eux.

    Ces propriétaires soupçonnent que le but est de leur faire acheter un nouveau modèle. S'ils sont avisés, ils apprendront plutôt à se méfier d'un produit qui oblige les utilisateurs à communiquer avec lui au travers d'un service spécialisé.

  • 2017-11

    Sony a ressorti son robot de compagnie Aibo, cette fois-ci avec une porte dérobée universelle, ainsi qu'une dépendance à un serveur avec abonnement obligatoire.

  • 2017-10

    Le fabricant de Canary, un système domotique de vidéosurveillance, l'a saboté en inactivant de nombreuses fonctionnalités à moins que l'utilisateur ne commence à payer un abonnement.

    Avec des fabricants comme ça, qui a besoin de pirates ?

    Les acheteurs devraient en tirer une leçon plus générale et rejeter les appareils connectés contenant du logiciel privateur embarqué. Chacun de ces produits est une invitation au sabotage.

  • 2017-10

    Tout système domotique de « vidéoprotection » peut servir à la surveillance dès lors que son fabricant peut communiquer avec lui. La caméra Canary en est un exemple.

    Cet article décrit des méfaits commis par le fabricant, basés sur le fait que le fonctionnement de l'appareil dépend d'un serveur.

    (Autres exemples de logiciels privateurs dépendant d'un serveur)

    Mais cela démontre également que l'appareil donne à cette entreprise des moyens de surveillance.

  • 2017-09

    Une pompe intraveineuse « intelligente » destinée aux hôpitaux est connectée à Internet. Naturellement, son système de sécurité a été piraté.

    (Notez que cet article utilise le terme « hackers » pour désigner des pirates informatiques – aussi appelés crackers.)

  • 2017-08

    La mauvaise sécurisation de beaucoup d'appareils de l'Internet des dangers permet aux fournisseurs de services d'espionner les gens qui les utilisent.

    Ne vous laissez pas avoir, rejetez tous ces objets dangereux.

    (C'est dommage que l'article utilise le terme « monétiser ».)

  • 2017-08

    Sonos a dit à tous ses clients : « Accepte » d'être espionné, ou bien l'appareil cessera de fonctionner. D'après un autre article, le logiciel ne sera pas modifié de force, mais comme les gens ne pourront plus obtenir de mise à jour, il finira par ne plus fonctionner.

  • 2017-08

    Pendant que vous utilisez un drone DJI pour espionner d'autres personnes, le DJI est dans la plupart des cas en train de vous espionner.

  • 2017-06

    De nombreux modèles de caméras connectées sont extrêmement mal sécurisées. Elles ont des comptes utilisateurs avec des mots de passe codés en dur, non modifiables, et il n'y a pas moyen non plus de supprimer ces comptes.

  • 2017-05

    Le code privateur qui fait fonctionner les pacemakers et les pompes à insuline, ainsi que d'autres dispositifs médicaux, est rempli de failles de sécurité monstrueuses.

  • 2017-05

    Une société avait créé pour Second Life des lapins et des oiseaux de compagnie dont la nourriture dépendait d'un serveur. Elle a arrêté le serveur et les animaux sont morts, ou presque.

  • 2017-04

    Des utilisateurs sont en train d'attaquer Bose en justice pour avoir distribué une appli espionne en complément de ses écouteurs. Plus précisément, l'appli enregistrait les noms des fichiers musicaux écoutés, ainsi que le numéro de série unique de l'appareil.

    On reproche à Bose d'avoir fait cela sans le consentement des utilisateurs. Est-ce que ce serait devenu acceptable si les clauses en petits caractères de l'appli avaient dit que l'utilisateur donnait son accord ? Jamais de la vie ! Dès le départ, il aurait dû être illégal de concevoir cette appli pour espionner.

  • 2017-04

    Annova a saboté les assistants de cuisine de ses utilisateurs avec une mise à jour régressive qui les a rendus dépendants d'un serveur distant. À moins que l'utilisateur ne crée un compte sur les serveurs d'Annova, son assistant cesse de fonctionner.

  • 2017-03

    Lorsque le lave-vaisselle désinfecteur de Miele se connecte à l'Internet des dangers, sa sécurisation est en dessous de tout.

    Par exemple, un cracker aurait la possibilité d'accéder au système de fichiers du lave-vaisselle, de l'infecter avec un maliciel et de forcer la machine à attaquer d'autres appareils connectés au réseau. Puisque ces lave-vaisselles sont utilisés dans les hôpitaux, une attaque de ce type pourrait mettre en danger des centaines de vies humaines.

  • 2017-03

    Un vibrateur informatisé espionnait ses utilisateurs au moyen de l'appli privatrice de contrôle.

    L'appli rapportait la température du vibrateur de minute en minute (donc, indirectement, s'il était au contact d'un corps humain), ainsi que la fréquence de vibration.

    Remarquez l'inadéquation complète de la réponse proposée : un label au moyen duquel les fabricants feraient des déclarations sur leurs produits, plutôt que du logiciel libre vérifiable et modifiable par les utilisateurs.

    Le fabricant du vibrateur a été poursuivi en justice pour avoir collecté des masses de données personnelles sur la manière dont les gens l'utilisaient.

    La déclaration de cette société selon laquelle elle anonymisait les données est peut-être sincère, mais cela n'a pas vraiment d'importance. Si elle avait vendu les données à un courtier en données, le courtier aurait pu découvrir qui était l'utilisateur.

    À la suite de cette action en justice, la société a été condamnée à verser 4 millions de dollars canadiens à ses clients.

  • 2017-03

    La CIA a exploité des vulnérabilités présentes dans les téléviseurs et téléphones « intelligents » pour fabriquer un logiciel malveillant qui se sert de leur micro et de leur caméra pour espionner, tout en les faisant paraître inactifs.

  • 2017-02

    Les jouets « CloudPets » équipés de micros divulguent les conversations des enfants au fabricant. Et vous savez quoi ? Des pirates informatiques ont trouvé moyen d'accéder au produit de cet espionnage.

    Le fait que le fabricant et le FBI puissent écouter ces conversations est de toute façon inacceptable.

  • 2017-02

    Si vous achetez du matériel « intelligent » d'occasion (voiture, système domotique, téléviseur, frigo ou autre), le précédent propriétaire peut continuer à le contrôler à distance.

  • 2017-02

    Les téléviseurs « intelligents » Vizio rapportent tout ce qui est visionné et pas seulement les émissions hertziennes ou câblées. Même si l'image provient de l'ordinateur personnel de l'utilisateur, le téléviseur rapporte ce qu'elle montre. Le fait qu'il existe un moyen de désactiver cette surveillance, même s'il n'est plus caché comme il a pu l'être auparavant, ne la justifie pas.

  • 2017-01

    Un cracker pourrait transformer les senseurs de l'Oculus Rift en caméras de surveillance après s'être introduit dans l'ordinateur auquel ils sont connectés.

    (Malheureusement, l'article utilise le terme impropre de « hackers » pour désigner des pirates informatiques.)

  • 2016-12

    L'équipement de réalité virtuelle, en mesurant chaque petit mouvement, rend possible la plus intime des surveillances. Pour réaliser ce potentiel il suffit d'un logiciel aussi malveillant que beaucoup de ceux que cette page répertorie.

    On peut parier que Facebook va mettre en œuvre le maximum de surveillance avec ses appareils Oculus Rift. La morale est qu'on ne doit pas faire confiance à un système de réalité virtuelle contenant du logiciel non libre.

  • 2016-12

    Le développeur de Ham Radio Deluxe a saboté l'installation d'un client pour avoir posté une revue défavorable.

    La plupart des éditeurs de logiciels privateurs n'utilisent pas leur pouvoir de manière si rude, mais il est injuste qu'ils possèdent tous ce pouvoir.

  • 2016-12

    Les jouets « intelligents » Mon amie Cayla et i-Que peuvent être contrôlés à distance par un mobile ; il n'est pas nécessaire d'y avoir accès physiquement. Ceci permettrait à des crackers d'écouter les conversations de l'enfant et même de lui parler à travers ses jouets.

    Cela signifie qu'un cambrioleur pourrait dire à l'enfant de déverrouiller la porte d'entrée pendant que Maman a le dos tourné.

  • 2016-09

    Une mise à jour régressive du micrologiciel [firmware] d'HP a imposé des DRM à certaines imprimantes, qui désormais refusent de fonctionner avec les cartouches des autres fabricants.

  • 2016-08

    Des « rançongiciels » [ransomware] ont été développés pour un thermostat qui utilise du logiciel privateur.

  • 2016-05

    le système « Smart Home » (maison intelligente) de Samsung a une grosse faille de sécurité ; des personnes non autorisées peuvent le contrôler.

    Samsung prétend que c'est une plateforme « ouverte » et que le problème est donc en partie la faute des développeurs d'applis. C'est évidemment le cas si les applis sont du logiciel privateur.

    Un truc portant le nom de « Smart », quel qu'il soit, va très probablement vous avoir jusqu'au trognon.

  • 2016-04

    Un logiciel malveillant a été trouvé dans les caméras de surveillance disponibles chez Amazon.

    Une caméra qui enregistre localement sur un support physique et n'a pas de connexion réseau ne représente pas une menace de surveillance, que ce soit par observation directe des gens au moyen de la caméra, ou par l'intermédiaire d'un logiciel malveillant infectant la caméra.

  • 2016-04

    Revolv est un appareil qui gérait les « maisons intelligentes » : éclairage, détecteurs de mouvements, régulation de température, etc. Le 15 mai 2016, Google/Alphabet l'a mis délibérément hors d'usage en arrêtant le serveur.

    Si son logiciel avait été libre, les utilisateurs auraient pu le remettre en service, d'une manière différente et avoir ensuite une maison respectueuse de leur liberté plutôt qu'une maison « intelligente ». Ne laissez pas des logiciels privateurs contrôler vos appareils et les transformer en presse-papiers de luxe hors garantie. Exigez des ordinateurs autonomes faisant tourner des logiciels libres !

  • 2016-03

    Plus de 70 modèles de caméras de surveillance connectées au réseau ont des failles de sécurité qui permettent à n'importe qui de s'en servir pour regarder.

  • 2016-01

    L'imprimante 3D « Cube » a été conçue avec un dispositif de gestion numérique des restrictions ; elle refuse les consommables fournis par des sociétés tierces. C'est la Keurig des imprimantes [NdT: Keurig est un fabricant de machines à café connu pour ses pratiques anticoncurrentielles.] Sa fabrication a été arrêtée, ce qui signifie qu'à terme ces imprimantes deviendront inutilisables, les consommables autorisés n'étant plus disponibles.

    Avec une imprimante labélisée RYF (Respecte votre liberté), il n'y a aucune chance que cela se produise.

    C'est lamentable que l'auteur de cet article dise qu'au départ il n'y avait « rien de mal » à concevoir l'appareil avec des restrictions d'usage. C'est comme de mettre sur sa poitrine une affiche disant « Dupez-moi et maltraitez-moi ». Nous devrions avoir un peu plus de bon sens et condamner toutes les sociétés qui exploitent les gens comme lui. De fait, c'est l'acceptation de leurs pratiques injustes qui apprend aux gens à se conduire comme des paillassons.

  • 2015-12

    Les ampoules « intelligentes » de Philips avaient à l'origine été conçues pour interagir avec les ampoules intelligentes des autre sociétés, mais par la suite, la société a mis à jour leur micrologiciel pour interdire l'interopérabilité.

    Si un produit est « intelligent » et que vous ne l'avez pas fabriqué, il utilise son intelligence pour servir son fabricant à votre détriment.

  • 2015-12

    Certains routeurs D-Link ont une porte dérobée pour changer les réglages.

    Le routeur TP-Link a une porte dérobée.

    De nombreux modèles de routeurs ont des portes dérobées.

  • 2015-11

    La caméra « intelligente » Nest Cam regarde en permanence, même quand son « propriétaire » la met sur « arrêt ».

    Un appareil « intelligent » est un appareil dont le fabricant se sert pour jouer au plus malin avec vous.

  • 2015-11

    Le modem câble ARRIS a une porte dérobée dans sa porte dérobée.

  • 2015-11

    Certaines publicités de la télévision et du web émettent des sons inaudibles destinés à des logiciels malveillants en service sur d'autres appareils, avec une portée permettant de savoir qu'ils sont proches. Une fois que vos appareils connectés sont appariés avec votre télévision, les annonceurs peuvent corréler les publicités avec votre activité sur le web et autres données de pistage provenant des divers appareils.

  • 2015-11

    Vizio va plus loin que tous les autres fabricants de téléviseurs dans l'espionnage de ses utilisateurs : ses téléviseurs « intelligents » analysent en détail vos habitudes d'écoute et les relient à votre adresse IP, de manière que les annonceurs puissent vous suivre à la trace sur vos autres appareils.

    Il est possible d'inactiver cette fonction, mais son activation par défaut est en soi une injustice.

  • 2015-11

    L'alliance de Tivo avec Viacom ajoute 2,3 millions de foyers aux 600 millions de profils que la société surveille déjà sur les réseaux sociaux. Les clients de Tivo ne se rendent pas compte que les annonceurs les regardent. En combinant l'information provenant de la télévision avec la participation aux réseaux sociaux, Tivo peut maintenant corréler la publicité à la télévision avec les achats en ligne, ce qui expose par défaut tous les utilisateurs à une nouvelle combinaison de flicages.

  • 2015-10

    Les moniteurs de forme physique FitBit ont une vulnérabilité au niveau du Bluetooth, qui permet à l'attaquant d'envoyer à ces appareils des logiciels malveillants pouvant ensuite se propager aux ordinateurs et aux autres moniteurs Fitbit avec lesquels ils interagissent.

  • 2015-10

    Les disques durs « à chiffrement automatique » utilisent pour ce faire un micrologiciel [firmware] privateur, auquel par conséquent on ne peut pas se fier. Les disques My Passport de Western Digital ont une porte dérobée.

  • 2015-07

    Les téléviseurs connectés Vizio reconnaissent et rapportent à la plateforme ce que les gens regardent, même si ce n'est pas une chaîne de télévision.

  • 2015-06

    En raison du défaut de sécurité de certaines pompes à perfusion, des crackers pourraient les utiliser pour tuer des patients.

  • 2015-05

    La télévision câblée de Verizon rapporte quels programmes les gens regardent et même lesquels ils veulent enregistrer.

  • 2015-05

    Les pompes à perfusion Hospira, qui sont utilisées pour administrer des médicaments à des patients, sont considérées comme « les périphériques IP les moins sécurisés que j'ai jamais vus » par un chercheur en sécurité informatique.

    Selon le médicament qui est perfusé, l'insécurité pourrait ouvrir la porte au meurtre.

  • 2015-04

    Vizio a utilisé une « mise à niveau » du micrologiciel [firmware] pour faire en sorte que ses téléviseurs espionnent ce que regardent les utilisateurs. Les téléviseurs ne le faisaient pas quand ils ont été mis sur le marché.

  • 2015-02

    Barbie va fliquer les enfants et les adultes.

  • 2015-02

    Le téléviseur connecté de Samsung transmet la voix de l'utilisateur par Internet à une autre société, Nuance. Nuance la sauvegarde et pourrait donc être obligée de la communiquer au gouvernement des États-Unis ou d'un autre pays.

    Vous ne devez pas faire confiance à la reconnaissance vocale, sauf si elle est effectuée par un logiciel libre sur votre propre ordinateur.

    Dans sa politique de confidentialité, Samsung confirme explicitement que des données vocales contenant de l'information à caractère personnel seront transmises à des tiers.

  • 2014-11

    Le téléviseur connecté d'Amazon espionne en permanence.

  • 2014-09

    Presque tous les téléviseurs « intelligents » espionnent leurs utilisateurs.

    Le rapport est daté de 2014, mais nous serions surpris si la situation s'était améliorée depuis.

    Cela montre que les lois exigeant des appareils qu'ils demandent le consentement formel de l'utilisateur avant de récupérer ses données personnelles sont complètement inadéquates. Et qu'arrive-t-il si un utilisateur refuse son consentement ? Il est probable que le téléviseur va dire : « Si vous ne consentez pas au pistage, la télévision ne fonctionnera pas. »

    Des lois acceptables diraient que les téléviseurs ne sont pas autorisés à rapporter ce que regarde l'utilisateur. Pas d'exception !

  • 2014-07

    Les thermomètres de Nest envoient au serveur beaucoup de données concernant l'utilisateur.

  • 2014-05

    LG a désactivé des fonctionnalités réseau sur des téléviseurs « intelligents » achetés antérieurement, à moins que les acheteurs ne consentent à laisser LG se mettre à les espionner et à distribuer leurs données personnelles.

  • 2014-05

    L'espion des téléviseurs « intelligents » de LG rapporte ce que regarde le téléspectateur, et l'interrupteur permettant soi-disant d'arrêter ça est inopérant (le fait que la transmission des données retourne une erreur 404 ne veut strictement rien dire ; le serveur pourrait sauvegarder ces données de toute façon).

    Pire, il espionne les autres services du réseau local de l'utilisateur.

    LG a dit plus tard qu'un correctif avait été installé, mais n'importe quel appareil pourrait espionner de cette manière.

    Par ailleurs, les téléviseurs de LG font de toute façon beaucoup d'espionnage.

  • 2014-04

    Bon nombre d'appareils médicaux ont une sécurisation en dessous de tout, et ce peut être mortel.

  • 2013-12

    Certaines mémoires flash ont des logiciels modifiables, ce qui les rend vulnérables aux virus.

    Nous n'appelons pas cela une « porte dérobée » parce que c'est normal de pouvoir installer un nouveau système dans un ordinateur si l'on y a accès physiquement. Cependant, il ne faut pas que les clés USB et les cartes mémoire soient modifiables de cette façon-là.

  • 2013-12

    Des terminaux de paiement tournant sous Windows ont été piratés et transformés en botnet afin de récupérer les numéros de cartes de crédit des clients.

  • 2013-11

    L'espion des téléviseurs « intelligents » de LG rapporte ce que regarde le téléspectateur, et l'interrupteur permettant soi-disant d'arrêter ça est inopérant (le fait que la transmission des données retourne une erreur 404 ne veut strictement rien dire ; le serveur pourrait sauvegarder ces données de toute façon).

    Pire, il espionne les autres services du réseau local de l'utilisateur.

    LG a dit plus tard qu'un correctif avait été installé, mais n'importe quel appareil pourrait espionner de cette manière.

  • 2013-10

    Les DVD et les disques Blu-ray ont des DRM.

    Cette page nous sert le baratin en faveur des menottes numériques, entre autres « gestion numérique des droits » et « protéger », et prétend que les « artistes » (plutôt que les éditeurs) sont responsables de l'introduction de la gestion numérique des restrictions dans ces disques. Néanmoins, c'est une référence factuelle.

    Tous les disques Blu-ray (à quelques rares exceptions près) ont un DRM. Aussi, n'utilisez pas de disque Blu-ray !

  • 2013-09

    La FTC (Commission fédérale du commerce) a sanctionné une entreprise pour avoir fabriqué des webcams comportant des failles de sécurité telles qu'il était facile pour n'importe qui de regarder ce qui était filmé.

  • 2013-08

    Le logiciel non libre remplaçable des disques durs peut être écrit sur le disque par un programme non libre. Ceci rend tout système vulnérable à des attaques persistantes que les outils d'analyse normaux ne détecteront pas.

  • 2013-07

    Il est possible de tuer des gens en prenant le contrôle d'implants médicaux par radio. Vous trouverez un complément d'information sur BBC News et sur le blog d'IOActive Labs Research.

  • 2013-07

    Dans les « maisons intelligentes », on découvre des vulnérabilités stupides permettant les intrusions.

  • 2013-07

    Les équipements de stockage de HP qui utilisent le système d'exploitation privateur « Left Hand » ont des portes dérobées qui autorisent HP à s'y connecter à distance. HP prétend que cela ne lui donne pas accès aux données de l'utilisateur, mais si la porte dérobée permettait l'installation de logiciels modifiés, il serait possible d'installer une modification qui lui donnerait cet accès.

  • 2012-12

    Les téléphones « VoIP unifiée » (TNT) de Cisco sont des instruments d'espionnage.

  • 2012-12

    Les « Smart TV » de Samsung ont fait de Linux la base d'un système tyrannique pour imposer les DRM. Ce qui permet à Samsung de faire ça, c'est le fait que Linux soit publié sous la version 2 de la GNU GPL et non sous la version 3, combiné à une interprétation permissive de la version 2.

  • 2012-12

    Des crackers ont trouvé moyen de briser la sécurité d'un téléviseur « intelligent » et d'utiliser sa caméra pour regarder les gens qui sont en train de regarder la télévision.

  • 2012-10

    Certains téléviseurs de LG sont des tyrans.