[Traduit de l'anglais]

Portes dérobées du logiciel privateur


Le logiciel non libre (privateur) est très souvent malveillant (conçu pour maltraiter les utilisateurs). Il est contrôlé par ses développeurs, ce qui les met en position de pouvoir vis-à-vis des utilisateurs ; c'est l'injustice de base. Les développeurs et les fabricants exercent souvent ce pouvoir au détriment des utilisateurs qu'ils devraient servir.

Cela prend habituellement la forme de fonctionnalités malveillantes.


Certaines fonctionnalités malveillantes font intervenir des portes dérobées. Voici des exemples de programmes privateurs qui en contiennent une ou plusieurs, classées d'après ce qu'elles ont le pouvoir de faire. Les portes dérobées qui permettent de prendre totalement le contrôle des programme qui les contiennent sont dites « universelles ».

Si vous avez connaissance d'un exemple qui devrait se trouver sur cette page mais n'y figure pas, n'hésitez pas à écrire à <[email protected]> pour nous en informer. Merci de fournir les URL d'une ou deux références fiables et spécifiques pour l'étayer.

Espionner

  • 2020-08

    Google Nest est en train de prendre le contrôle d'ADT. Google a envoyé sur ses enceintes connectées (en utilisant une porte dérobée) une mise à jour qui leur permet d'écouter des bruits du genre alarme incendie, puis d'envoyer une notification sur votre téléphone si une alarme se met en route. Cela signifie que ces appareils peuvent désormais réagir à d'autres bruits que la seule « phrase de réveil ». Google dit que la mise à jour a été envoyée prématurément et par accident, et qu'il était prévu de dévoiler cette nouvelle fonctionnalité en la proposant aux clients qui acceptent de la payer.

  • 2017-06

    De nombreux modèles de caméras connectées contiennent une porte dérobée caractérisée. Elles ont des comptes utilisateurs avec des mots de passe codés en dur, non modifiables, et qui ne peuvent pas non plus être supprimés.

    Puisque ces comptes avec mots de passe codés en dur sont impossibles à supprimer, il ne s'agit pas seulement d'insécurité ; il s'agit d'une porte dérobée qui peut être utilisée par le fabricant (et le gouvernement) pour espionner les utilisateurs.

  • 2017-01

    WhatsApp possède une fonctionnalité qui a été décrite comme une « porte dérobée » car elle permet aux gouvernements d'annuler son chiffrement.

    Les développeurs disent que ce n'était pas prévu pour être une porte dérobée et ils peuvent très bien avoir raison. Mais il reste une question cruciale : est-ce que cette porte dérobée est vraiment opérationnelle ? Puisque le programme n'est pas libre, nous ne pouvons pas le vérifier en l'étudiant.

  • 2015-12

    Microsoft a mis une porte dérobée dans le chiffrement des disques.

  • 2014-09

    Apple peut – et elle le fait régulièrement – extraire à distance certaines données des iPhones pour l'État.

    Il y a peut-être du progrès avec iOS 8, qui a une sécurité améliorée, mais pas autant que le prétend Apple.

Altérer les données ou préférences de l'utilisateur

Installer, supprimer ou désactiver des programmes

  • 2024-01

    Les disques Blu-ray Ultra HD sont bourrés de maliciels de la pire espèce, en particulier un DRM, l'AACS. Leur lecture sur PC nécessite le moteur de gestion Intel (Intel ME), qui a des portes dérobées et ne peut pas être désactivé. Le micrologiciel des lecteurs Blu-ray a également une porte dérobée permettant à l'organisation gestionnaire de l'AACS de révoquer à distance les clés nécessaires au déchiffrement de ces disques.

  • 2023-02

    Microsoft désactive Internet Explorer à distance et force les utilisateurs à se reporter sur Microsoft Edge.

    Imposer un tel changement est de la malveillance, et le fait qu'un programme injuste est redirigé vers un autre programme injuste n'est pas une excuse.

  • 2023-01

    Microsoft a publié une « mise à jour » qui installe un programme de surveillance sur les ordinateurs de ses utilisateurs afin de récolter des données sur certains des programmes installés, au bénéfice de Microsoft. La mise à jour se fait automatiquement et le programme tourne « une fois, silencieusement ».

  • 2022-10

    Xiomi fournit un outil pour déverrouiller le chargeur de démarrage de ses smartphones et tablettes, mais ceci oblige les utilisateurs à créer un compte sur les serveurs de la société, c'est-à-dire à donner leur numéro de téléphone. C'est le prix à payer pour faire tourner « légalement » un système d'exploitation libre sur les appareils de Xiaomi. Mais le fabricant conserve le contrôle de l'appareil déverrouillé au travers d'une porte dérobée – la même qui a servi à le déverrouiller à distance.

  • 2022-08

    Tesla vend une extension logicielle que les conducteurs n'ont pas le droit d'utiliser.

    Cette pratique fait intervenir une porte dérobée, ce qui est en soi injuste. C'est de la manipulation que de demander aux utilisateurs d'acheter quelque chose des années à l'avance pour éviter d'avoir à payer un prix encore plus élevé plus tard.

  • 2021-10

    Adobe a octroyé une licence pour le Flash Player à la société chinoise Zhong Cheng Network, qui fournit ce programme avec un logiciel espion et une porte dérobée permettant de le désactiver à distance.

    Le responsable de cet état de choses est Adobe, car c'est elle qui a donné à Zhong Cheng Network la permission de commettre cette injustice. Il s'agit d'un détournement de la DMCA (loi sur le copyright du millénaire numérique), mais l'intention première de cette loi est encore plus injuste. Voir « Le droit de lire ».

  • 2021-08

    Les téléviseurs récents de Samsung ont une porte dérobée qui permet au fabricant de les flinguer à distance.

  • 2021-06

    Google a installé automatiquement une appli sur beaucoup de téléphones Android. L'appli n'est peut-être pas malveillante, mais le pouvoir que possède Google sur les téléphones Android (privateurs) est dangereux.

  • 2020-12

    Le Flash Player d'Adobe a une porte dérobée universelle qui permet à cette société de contrôler le logiciel et, par exemple, de l'inactiver si elle le souhaite. Adobe va bloquer la lecture des fichiers Flash par le Flash Player à partir du 12 janvier 2021, ce qui prouve qu'Adobe a effectivement accès à chacun des lecteurs Flash par une porte dérobée.

    Cette porte dérobée ne sera plus une menace à l'avenir, puisqu'elle permettra d'inactiver un programme privateur et poussera ses utilisateurs à le supprimer, mais elle a constitué une injustice pendant des années. Les utilisateurs auraient dû se débarrasser du Flash Player bien avant sa fin de vie.

  • 2020-07

    BMW essaie de verrouiller certaines fonctionnalités de ses voitures et de forcer leurs propriétaires à payer pour utiliser des parties de la voiture qu'ils ont déjà achetées. Et ceci, au moyen d'une mise à jour forcée du logiciel de la voiture par une porte dérobée radio-commandée.

  • 2019-08

    Une appli très populaire de Google Play contenait un module conçu pour installer furtivement un logiciel malveillant sur l'ordinateur de l'utilisateur. Les développeurs de l'appli s'en servaient régulièrement pour forcer l'ordinateur à télécharger et exécuter le code de leur choix.

    Voilà un exemple concret de ce que à quoi s'exposent les utilisateurs d'une appli non libre. Ils ne peuvent jamais être complètement sûrs qu'elle est sans danger.

  • 2019-07

    Apple semble dire que MacOS possède une porte dérobée permettant de mettre à jour certaines applis, sinon toutes.

    Le changement particulier décrit dans cet article n'était pas malveillant (il évitait aux utilisateurs d'être espionnés par des tiers) mais c'est un autre problème.

  • 2018-11

    Corel Paintshop Pro a une porte dérobée qui peut le mettre hors service.

    Cet article est rempli de confusions, d'erreurs et de partis pris que nous sommes dans l'obligation de dénoncer, étant donné que nous les mettons en lien.

    • L'obtention d'un brevet ne « permet » pas à une société de faire une chose en particulier avec ses produits. Ce que cela lui permet de faire, c'est de poursuivre d'autres sociétés devant les tribunaux si elles font une chose particulière avec leurs produits.
    • La politique d'une société qui détermine quand elle attaquera ses utilisateurs à travers une porte dérobée n'a aucun rapport avec la question. Le simple fait d'insérer une porte dérobée est répréhensible. Il en va de même pour son utilisation. Aucun développeur de logiciel ne doit avoir ce pouvoir sur ses utilisateurs.
    • La « piraterie » se définit comme l'attaque de navires. L'emploi de ce mot pour désigner le partage de copies est du dénigrement. Ne salissez pas le partage.
    • L'idée de « protéger notre propriété intellectuelle » est de la confusion totale. Le terme « propriété intellectuelle » est lui-même une généralisation vide de sens à propos de choses qui n'ont rien en commun.

      De plus, parler de « protéger » cette généralisation vide de sens ajoute l'absurdité à la vacuité. C'est comme si vous appeliez la police parce que les enfants du voisin sont en train de jouer sur votre pelouse, en disant que vous « protégez la limite de votre propriété ». Les enfants du voisin ne peuvent pas faire de mal à la limite de votre propriété, pas même avec un marteau piqueur, parce que c'est une abstraction qui n'est pas affectée par les actions physiques.

  • 2018-04

    Certains téléviseurs « intelligents » téléchargent automatiquement des mises à jour régressives qui installent une appli de surveillance.

    Nous mettons cet article en lien pour les faits qu'ils présentent. C'est dommage que dans sa conclusion il conseille de céder aux sirènes de Netflix. L'appli de Netflix est malveillante également.

  • 2015-11

    La bibliothèque Android privatrice de Baidu (Moplus) a une porte dérobée qui peut « uploader des fichiers » et aussi installer des applis de force.

    Elle est utilisée par 14 000 applications Android.

  • 2011-12

    En plus de sa porte dérobée universelle, Windows 8 a une porte dérobée pour supprimer des applications à distance.

    Vous pouvez parfaitement décider de laisser un service de sécurité en qui vous avez confiance désactiver les programmes qu'il considère comme malveillants. Mais il n'y a aucune excuse pour les supprimer, et vous devez avoir le droit de décider si vous devez vous en remettre à quelqu'un pour cela, et à qui.

  • 2011-03

    Dans Android, Google a une porte dérobée qui lui permet de supprimer des applications à distance (elle est dans un programme appelé GTalkService qui semble, depuis la parution de cet article, avoir été intégré à Google Play).

    Google peut aussi installer des applis, de force et à distance au moyen de GTalkService. Ce n'est pas l'équivalent d'une porte dérobée universelle, mais cela rend possibles divers mauvais coups.

    Bien que l'exercice de ce pouvoir par Google n'ait pas été malfaisant jusqu'à présent, le fait est que personne ne doit posséder un tel pouvoir, car il pourrait aussi être utilisé de manière malfaisante. Vous pourriez parfaitement décider de laisser un service de sécurité désactiver à distance les programmes qu'il considère comme malveillants. Mais il n'y a aucune excuse pour les supprimer, et vous devez avoir le droit de décider à qui accorder une telle confiance (à supposer que vous l'accordiez à quelqu'un).

  • 2008-08

    L'iPhone a une porte dérobée qui permet à Apple de supprimer à distance les applications qu'elle estime « inappropriées ». D'après ce que disait Jobs, il est acceptable qu'Apple possède ce pouvoir, car évidemment nous pouvons lui faire confiance.

Contrôle total

  • 2023-05

    HP livre des imprimantes avec une porte dérobée universelle qui a été récemment utilisée pour les saboter en y installant à distance un logiciel malveillant. Ce maliciel oblige l'imprimante à refuser les cartouche d'encre non homologuées par HP, ainsi que les vieilles cartouche dont HP dit maintenant qu'elles ont « expiré ». HP donne le nom de « sécurité dynamique » à la porte dérobée et déclare sans vergogne que cette « sécurité » protège les utilisateurs contre les logiciels malveillants.

    Si vous possédez une imprimante HP qui peut encore utiliser des cartouches non homologuées, nous vous exhortons à la déconnecter d'Internet. Ceci garantira que HP ne peut pas la saboter par une « mise à jour » de son logiciel.

    Notez comment l'auteur de l'article répète naïvement l'affirmation de HP selon laquelle la « sécurité dynamique » protège les utilisateurs contre les logiciels malveillants, sans se rendre compte que l'article démontre le contraire.

  • 2021-11

    NordicTrack, une société qui vend des appareils d'exercice physique ayant la capacité de montrer des vidéos limite ce que les gens peuvent regarder et a récemment désactivé une fonctionnalité qui, à l'origine, était active. Ceci s'est produit à l'occasion d'une mise à jour, probablement au moyen d'une porte dérobée universelle.

  • 2021-06

    La société Peloton, qui fabrique des tapis roulants, a récemment verrouillé une fonction essentielle des tapis de ses clients par une mise à jour logicielle. Elle demande maintenant un abonnement pour ce que les gens ont déjà payé.

    Le logiciel du tapis roulant est privateur et inclut probablement des portes dérobées pour forcer les mises à jour. Cette histoire nous donne une leçon : si un produit communique avec des réseaux extérieurs, on peut s'attendre à ce qu'il acquière de nouvelles fonctionnalités malveillantes.

    Le fabricant dit qu'il était en train d'annuler ce changement, de sorte que les clients n'auront plus besoin d'un abonnement pour utiliser la fonctionnalité verrouillée.

    C'est apparemment la colère du public qui a fait reculer la société. Si nous voulons que cela devienne notre bouclier, nous devons faire monter la colère contre les maliciels (et contre le logiciel privateur, qui est leur point d'entrée) au point que même les sociétés les plus puissantes n'oseront plus la braver.

  • 2021-02

    Microsoft est en train de supprimer le lecteur Flash des ordinateurs sous Windows 10 en utilisant une porte dérobée universelle de Windows.

    Le fait que Flash ait été désactivé par Adobe n'excuse pas cet abus de pouvoir. La nature du logiciel privateur, dont Windows fait partie, donne aux développeurs tout pouvoir pour imposer leurs décisions aux utilisateurs ; Le logiciel libre en revanche donne aux utilisateurs le pouvoir de décider par eux-mêmes.

  • 2020-11

    Les routeurs wifi Wavelink et JetStream ont des portes dérobées universelles qui permettent à des personnes non authentifiés, non seulement de les contrôler à distance, mais aussi de contrôler n'importe quel appareil connecté au réseau. Il est prouvé que cette vulnérabilité est activement exploitée.

    Si vous envisagez d'acheter un routeur, nous vous invitons à en choisir un qui fonctionne avec du logiciel libre. Toute tentative d'y introduire une fonctionnalité malveillante (par exemple à l'occasion d'une mise à jour du micrologiciel) sera détectée par la communauté et vite corrigée.

    Si malheureusement vous possédez un routeur qui fonctionne avec du logiciel privateur, pas de panique ! Il est peut-être possible de remplacer son micrologiciel avec un système d'exploitation libre comme libreCMC. Si vous ne savez pas comment faire, vous pouvez trouver de l'aide auprès d'un groupe d'utilisateurs GNU/Linux de votre région.

  • 2020-11

    Une nouvelle appli publiée par Google permet aux banques et aux créditeurs de désactiver les appareils Android de leurs débiteurs s'ils omettent de payer en temps voulu. Lorsqu'un appareil est désactivé, son usage est restreint aux fonctionnalités de base comme les appels d'urgence et l'accès aux réglages.

  • 2020-07

    BMW va activer et désactiver à distance certaines fonctionnalités de ses voitures, au moyen d'une porte dérobée universelle.

  • 2020-04

    Les conditions d'utilisation de Google Play exigent que l'utilisateur d'Android accepte la présence de portes dérobées universelles dans les applis publiées par Google.

    Ceci ne nous dit pas si des applis de Google contiennent actuellement une porte dérobée, mais la question est secondaire. En termes de morale, exiger que les gens acceptent par avance un mauvais traitement est équivalent à le leur infliger. Cela mérite la même condamnation que le traitement lui-même.

  • 2020-01

    Des téléphones Android subventionnés par le gouvernement américain sont livrés avec des logiciels publicitaires préinstallés et une porte dérobée pour installer des applis non souhaitées par l'utilisateur.

    Le logiciel publicitaire est une version modifiée d'une appli essentielle servant à la configuration du système, et la porte dérobée a été ajoutée subrepticement à un programme dont le rôle avoué est d'être une porte dérobée universelle pour le micrologiciel.

    Autrement dit, un programme dont la raison d'être est malveillante a un objectif secondaire malveillant caché. Le tout se surajoute à la malveillance intrinsèque d'Android.

  • 2019-10

    L'appli du parti communiste chinois « Étudie la grande nation » s'est révélée contenir une porte dérobée permettant aux développeurs d'exécuter le code de leur choix sur le téléphone de l'utilisateur avec des privilèges de « super-utilisateur ».

    Note : la version de cet article publiée par le Washington Post (partiellement cachée mais lisible après copié-collé dans un éditeur de texte) inclut une mise au point disant que les tests ont été faits uniquement sur la version Android de l'appli et que, d'après Apple, ce genre de surveillance avec privilèges de “super-utilisateur” ne pouvait pas fonctionner sur le système d'exploitation d'Apple ».

  • 2019-08

    Les ChromeBooks sont programmés pour l'obsolescence: ChromeOS a une porte dérobée universelle qui est utilisée pour les mises à jour et cesse de fonctionner à une date prédéterminée. Ensuite, il semble que l'ordinateur n'ait plus aucun suivi.

    En d'autres termes, quand vous cessez de vous faire avoir par la porte dérobée, vous commencez à vous faire avoir par l'obsolescence.

  • 2019-02

    Le système FordPass Connect de certains véhicules Ford a un accès quasi intégral au réseau interne de la voiture. Il est connecté en permanence au réseau de téléphonie mobile et envoie à Ford une grande quantité de données, en particulier de géolocalisation. Il fonctionne même lorsqu'on retire la clé de contact, et des utilisateurs nous ont signalé qu'ils ne peuvent pas le désactiver.

    Si vous posséder l'une de ces voitures, avez-vous réussi à interrompre la connexion en débranchant le modem, ou bien en enveloppant l'antenne dans du papier d'aluminium?

  • 2018-12

    Les nouveaux modèles de véhicules GM sont dotés d'une porte dérobée universelle.

    Aucun des programmes non libres n'offre à l'utilisateur de sécurité contre les attaques de son développeur, mais GM a explicitement aggravé les choses.

  • 2017-11

    Le jouet Furby Connect a une porte dérobée universelle. Même si ce produit, tel qu'il est livré, n'est pas utilisable comme appareil d'écoute, il pourrait sûrement le devenir après une modification à distance du code.

  • 2017-11

    Sony a ressorti son robot de compagnie Aibo, cette fois-ci avec une porte dérobée universelle, ainsi qu'une dépendance à un serveur avec abonnement obligatoire.

  • 2017-09

    Dans certaines voitures, Tesla a limité la fraction de batterie utilisable par ses clients au moyen d'un logiciel et a levé temporairement cette limitation au moyen d'une porte dérobée universelle dans ce logiciel.

    Donner à distance aux « propriétaires » la permission d'utiliser l'entière capacité de la batterie ne leur fait aucun mal. Cependant, la même porte dérobée permettrait à Tesla (peut-être sur commande d'un gouvernement) de donner à la voiture l'ordre distant de ne plus utiliser du tout sa batterie, ou même de conduire son passager vers une prison de torture.

  • 2017-02

    Les téléviseurs « intelligents » Vizio ont une porte dérobée universelle.

  • 2016-09

    Les téléphones Xiaomi sont livrés avec une porte dérobée universelle à l'usage de Xiaomi dans le processeur d'application.

    Elle est différente de la porte dérobée universelle utilisable par l'opérateur téléphonique local, qui existe dans le processeur du modem.

  • 2016-08

    Microsoft Windows a une porte dérobée universelle qui permet d'imposer un changement aux utilisateurs, quel qu'il soit.

    Ceci a été décrit en 2007 pour XP et Vista et il semble que Microsoft ait utilisé la même méthode pour imposer une régression vers Windows 10 aux ordinateurs sous Windows 7 et 8.

    Dans Windows 10, la porte dérobée universelle n'est plus cachée ; toutes les « mises à jour » seront imposées immédiatement, de force.

  • 2016-06

    L'Echo d'Amazon semble avoir une porte dérobée universelle puisque les « mises à jour » s'installent automatiquement.

    Nous n'avons rien trouvé qui prouve l'absence totale de moyen pour désactiver la modification à distance du logiciel, mais cela paraît assez évident.

  • 2014-12

    Une version chinoise d'Android a une porte dérobée universelle. Presque tous les modèles de téléphones mobiles ont une porte dérobée universelle sur la puce modem. Alors, pourquoi Coolpad se donnerait-il la peine d'en introduire une autre ? Parce que celle-ci est sous son contrôle.

  • 2013-11

    Certaines applications sont associées à MyFreeProxy, qui est une porte dérobée universelle capable de télécharger des programmes et de les exécuter.

  • 2012-07

    En plus de son effaceur de livre, le Kindle-Swindle a une porte dérobée universelle.

  • 2006-12

    Chacun, ou presque, des processeurs de communication utilisés en téléphonie a une porte dérobée universelle qui est souvent employée pour forcer le téléphone à transmettre toutes les conversations qu'il entend. Voir Malveillance des mobiles pour en savoir plus.

Autre ou indéterminé

L'EFF donne d'autres exemples de l'utilisation de portes dérobées.