-
Ajouter aux favoris
Fais-moi confiance…
vendredi 18 novembre 2016
Voici une histoire sur l’éternel sujet du gratuit.
Le plug-in pour les navigateurs web WOT (Web of Trust) qui comptabilise plus de 140 millions d’installations et qui a été conçu pour prévenir les visites de sites malveillants en affichant aux utilisateurs leur niveau de danger (leur réputation), a été pris en flagrant délit de collecte d’informations sur les activités des utilisateurs et de vente d’informations sur les visites à des tiers. De plus, l'analyse du code de cette extension a montré la présence d’une vulnérabilité qui permet de lancer l’exécution du code lors du traitement de toute page web.
Les informations sur la collecte et la vente de données sur les visites des utilisateurs ont été obtenues grâce à une enquête journalistique réalisée par la chaîne de télévision allemande NDR. Web of Trust affirme que seules des statistiques anonymes impersonnelles ont été vendues mais les chercheurs ont pu identifier avec précision plus de 50 utilisateurs dans un extrait acheté via un intermédiaire. Lord de l'étude de l'extrait acheté, les journalistes ont pu également mettre en évidence des informations révélant des détails sur des enquêtes policières, sur des opérations financières fermées et des informations sur l’orientation sexuelle d’un juge.
D’autre part, l'examen détaillé du code du plug-in a montré que WOT comprend une faille qui permet de télécharger et d’exécuter un script aléatoire avec les privilèges d’un plug-in du navigateur après avoir reçu une commande en réponse à la demande de réputation d'un site. Ainsi, si les développeurs de WOT le souhaitaient, ils seraient en mesure d’élargir leur action en utilisant un script similaire pour, par exemple, intercepter des formulaires avec des numéros de cartes de crédit ou installer un malware sur l’ordinateur de l’utilisateur.
Une entreprise qui propose un produit gratuit doit posséder des fonds pour vivre. Les éditeurs d’applications gratuites utilisent ainsi souvent le système de la publicité, en publiant des publicités dans leurs applis. Par exemple, ils peuvent publier des publicités dans leurs applications.
Mais que faire si cette appli est invisible pour l'utilisateur, et qu’elle fonctionne en tant que service ? Dans ce cas, les fenêtres pop up publicitaires vont déranger l'utilisateur et il désinstallera probablement l’application en question. Par conséquent, il faut vendre quelque chose. Et là, on pense aux données des internautes utilisant l’application.
Ce qui est le plus triste, c’est que tout le monde le sait, mais que tout le monte l'accepte, pour avoir des choses gratuitement !
L’attaché de presse de Web of Trust a souligné que le transfert d’informations anonymes sur les utilisateurs de Web of Trust à des tiers est mentionné dans le contrat d’utilisation:
«The information we collect is aggregated, non-personal non-identifiable information which may be made available or gathered via the users’ use of the WOT Utilities («Non-Personal Information»). We are not aware of the identity of the user from which the Non-Personal Information is collected. We may disclose or share this information with third parties as specified below and solely if applicable».
Si les utilisateurs acceptent facilement la divulgation de leurs données personnelles, pourquoi sont-ils alors surpris de l’apparition de spams dans leur courrier et d’appels téléphoniques indésirables ?
Dans la plupart des cas, ces applications ne recueillent pas des données personnelles (les noms, par exemple), mais essaient de tirer le maximum d'information permettant d'identifier l'utilisateur.
Le projet Lumières sur la sécurité recommande
- La différence entre un programme malveillant espion et une application qui collecte des données pour l'analyse et la vente est très subtile. Le contrat de licence peut contenir différents points : la majorité des utilisateurs l'acceptent sans le lire. Donc, si vous pensez qu’un programme se permet de collecter trop d'information, mettez-nous au courant. Il existe des cas où des informations de ce type ont été ajoutées à la base virale.
- Les listes noires du module de Contrôle Parental Dr.Web sont analogues aux fonctions de Web of Trust. Mais nous n’avons pas besoin de recueillir ni de vendre vos données pour payer nos analystes, car honnêtement, nous vivons en vendant nos produits.
- Lisez toujours attentivement les contrats de licence pour comprendre à quoi vous vous engagez. Oui, le combat pour ses propres droits commence par des petites choses.
La réputation (rating) attribuée aux sites web par Web of Trust est basée sur l’opinion d'un grand nombre d’utilisateurs sur ces sites. On se demande quelle sera désormais la réputation de ce site si beaucoup de gens ont lu cette news…
![[Twitter]](http://st.drweb.com/static/new-www/social/no_radius/twitter.png "Partagés 15 fois")
Nous apprécions vos commentaires
Pour laisser un commentaire, vous devez accéder au site via votre compte sur le site de Doctor Web. Si vous n'avez pas de compte, vous pouvez le créer.
Commentaires des utilisateurs
vasvet
15:34:46 2018-08-27
razgen
00:53:34 2018-07-17
Bernard
11:09:44 2016-11-18
Personne dans aucun métier ne peut vivre sans revenu.
Je ne sais pas par contre si beaucoup de ceux qui utilisent des applications gratuites connaissent les risques que vous précisez mêmeet surtout comme quand le cas de Wot ce produit a été largement plébiscité par beaucoup de pseudos testeurs d'applications de sécurité informatique.