Un logiciel est dit « malveillant » lorsque son fonctionnement a été conçu pour traiter l’utilisateur de manière inéquitable ou lui faire du tort (erreurs accidentelles mises à part).
Logiciel malveillant et logiciel non libre sont deux notions différentes. La différence entre logiciel libre et logiciel non libre réside dans le fait que les utilisateurs ont, ou non, le contrôle du programme. Cela n’a rien à voir avec ce que fait le programme en cours de fonctionnement. Cependant, en pratique, un logiciel non libre est souvent malveillant parce que le développeur, conscient que les utilisateurs seraient incapables de corriger une éventuelle fonctionnalité malveillante, est tenté de leur en imposer quelques-unes.
Cette page répertorie des sites web contenant des programmes JavaScript qui espionnent les utilisateurs ou les trompent. Ils se servent de ce que nous appelons le piège JavaScript. Bien entendu, beaucoup de sites collectent de l’information envoyée par l’utilisateur, entre autres au moyen de formulaires, mais ce n’est pas ce dont nous voulons parler ici.
- De nombreux sites web utilisent du code JavaScript pour récupérer l’information que les utilisateurs ont saisie dans un formulaire mais n’ont pas envoyée, et ainsi découvrir leur identité. Certains ont été poursuivis pour cela.La messagerie instantanée de certains supports techiques utilise le même genre de maliciel pour lire le messsage que l’utilisateur est en train d’écrire avant qu’il ne l’ait envoyé.
- British Airways a utilisé du JavaScript non libre sur son site web pour donner aux autres compagnies des données personnelles de ses clients.
- Le program Storyful espionne les journalistes qui l’utilisent.
- Un cracker a exploité une faille dans un logiciel non mis à jour pour injecter un « mineur » dans les pages web servies aux visiteurs. Ce type de maliciel pirate le processeur de l’ordinateur pour générer une cryptomonnaie. (Notez que l’article se réfère au logiciel infecté sous le nom de « système de gestion de contenu ». Il aurait été plus correct de l’appeler « système de révision pour site web ».)Comme le mineur était un programme JavaScript, les visiteurs n’auraient pas été affectés s’ils avaient utilisé LibreJS. Il existe également plusieurs extensions de navigateurs qui bloquent spécifiquement les mineurs JavaScript.
- Certains logiciels JavaScript malveillants raflent les identifiants provenant des gestionnaires de mots de passe associés aux navigateurs.
- Certains sites envoient du code JavaScript pour collecter tout ce qui est saisi par l’utilisateur, ce qui permet de reproduire l’ensemble de la session.Si vous utilisez LibreJS, il bloquera ce code JavaScript malveillant.
- Quand une page utilise Disqus pour les commentaires, le logiciel privateur Disqus charge un logiciel de Facebook dans le navigateur de chaque visiteur anonyme de la page et communique son URL à Facebook.
- Les ventes en ligne, et le pistage et la surveillance des clients qui vont avec, permettent aux commerçants de montrer des prix différents à différentes personnes. L’essentiel du pistage se fait en enregistrant les interactions avec les serveurs, mais le logiciel privateur joue un rôle.
- Un article de recherche a étudié 283 applis VPN pour Android du point de vue de la confidentialité et de la sécurité. Voici sa conclusion : « En dépit des promesses de confidentialité, de sécurité et d’anonymat faites par la plupart des applis VPN, des millions d’utilisateurs peuvent être victimes à leur insu des garanties de sécurité fallacieuses et des pratiques abusives que ces applis leur infligent. »Voici deux exemples, tirés de cet article, d’applis VPN privatrices utilisant du code JavaScript pour pister les utilisateurs et porter atteinte à leur vie privée.
- Service VPN HotspotShield
- Injecte du code JavaScript dans les pages HTML renvoyées aux utilisateurs. Le but avoué de cette injection est d’afficher des pubs. Cette appli utilise cinq bibliothèques de pistage environ. En outre, elle redirige le trafic de l’utilisateur par valueclick.com (un site de publicité).
- WiFi Protector
- Injecte du code JavaScript dans les pages HTML et utilise également cinq bibliothèques de pistage. Ses développeurs ont confirmé que l’injection de JavaScript par la version gratuite de l’appli sert au pistage des utilisateurs et à l’affichage de pubs.
- Les livres électroniques peuvent contenir du code JavaScript et parfois ce code espionne l’utilisateur.
- Flash et JavaScript sont employés dans des dispositifs de « profilage » destinés à identifier les utilisateurs.
- De nombreux sites dénoncent leurs visiteurs aux réseaux publicitaires qui font du pistage. Une statistique prenant en compte les 1000 sites web les plus populaires a montré que 84% d’entre eux (le 17 mai 2012) servaient à leurs visiteurs des cookies tierces permettant à d’autres sites de les suivre à la trace.
- De nombreux sites envoient à Google un rapport sur chacun de leurs visiteurs par le biais de Google Analytics, rapport qui contient son adresse IP et la page visitée.
- Beaucoup également essaient de récupérer les carnets d’adresse des utilisateurs (répertoires contenant les numéros de téléphone ou les adresses de courriel d’autres personnes). C’est une atteinte à la vie privée de ces autres personnes.
- Les pages qui contiennent des boutons Like permettent à Facebook de pister les visiteurs de ces pages, même ceux qui n’ont pas de compte Facebook.
- Un cookie du lecteur Flash aide les sites web à suivre les visiteurs à la trace).
Auteur: Free Software Foundation, Inc.
URL: https://www.gnu.org/proprietary/malware-webpages.fr.html
Licence: Creative Commons attribution 4.0 internationale (CC BY 4.0)