Parents - Est-il vrai que lorsque l’on télécharge certains [...]

Qu’est-ce qu’un espiogiciel ?

Les espiogiciels s’installent sur un ordinateur comme les autres programmes, généralement sans que l’utilisateur en ait connaissance ou soit informé de sa finalité, et collectent des données sur son comportement d’internaute et sa machine. La fonction essentielle d’un espiogiciel est, sous couvert ou non d’un autre service, de transmettre ces données à son créateur, la plupart du temps à des fins de ciblage publicitaire et commerciale.

Les espiogiciels sont fréquemment associés à des logiciels proposés en téléchargement gratuit sur l’internet, comme par exemple les logiciels d’échanges de fichiers peer-to-peer, mais également dans des produits phares de grands éditeurs. On peut également compter au nombre de ces techniques les web bugs qui, le plus souvent à des fins de mesure d’audience, prennent la forme d’une image invisible et indétectable constituée d’un unique pixel inséré dans des pages ou courriers électroniques au format html. Ces derniers toutefois ne font pas l’objet d’une installation permanente sur les machines des utilisateurs concernés.

À quoi sert un espiogiciel ?

Véritables mouchards électroniques au même titre que les cookies mais aux fonctionnalités beaucoup plus étendues, ils peuvent envoyer dès le démarrage de l’ordinateur vers les serveurs d’un organisme « maître » toutes les données qu’ils ont collectées, comme les habitudes de navigation et les adresses de tous les sites visités, mais aussi la configuration exacte de l’ordinateur et le contenu de son disque dur permettant ainsi parfois de dénicher des adresses de courrier électronique ou, plus gênant, des mots de passe !

L’objectif affiché par les éditeurs de ces logiciels est d’assurer une meilleure maintenance des programmes dans lesquels ils sont intégrés. La transmission de données comme la version utilisée, les programmes associés ou les erreurs rencontrées, permettent en effet parfois d’envoyer automatiquement à l’utilisateur les mises à jour et correctifs indispensables au bon fonctionnement du programme principal.

Une autre pratique consiste également en la revente des données ainsi collectées à des régies publicitaires, des centrales d’achats ou des sociétés de marketing. Ces données constituent une ressource appréciable pour ces entreprises, la valeur de leurs fichiers et de leurs bases de données étant déterminée par la qualification et le profilage les plus précis possible des internautes listés.

L’espiogiciel est à cet effet la réponse la plus avancée à la culture de l’anonymat et du pseudonymat qui demeure encore aujourd’hui un des traits fondamentaux de l’identité sur internet. Les fonctions d’espionnage sont même parfois la rançon de la gratuité d’un logiciel : son concepteur l’offre librement en téléchargement mais se rémunère en contrepartie par la revente des informations recueillies.

Même si la présence sur sa machine d’un espiogiciel est ressentie par l’utilisateur comme une intrusion intolérable dans sa vie privée, l’espiogiciel n’est pourtant pas en lui-même illégal. Comme le rappelle régulièrement la Commission nationale de l’informatique et des libertés [1], la licéité de son utilisation est conditionnée par le consentement exprès de l’utilisateur. Bien souvent, toutefois, les mentions l’informant de l’existence du programme, de la nature des données collectées et de leur destinataire, sont illisibles, voire absentes.

Par exemple, une disposition de la licence de téléchargement du logiciel d’échange de fichiers (peer-to-peer) Kazaa, qui a fait l’objet d’un procès aux Pays-Bas [2], signalait bien la présence d’un logiciel espion parmi les fichiers installés. Mais la taille des caractères et la formulation employée pour prévenir l’utilisateur ne délivraient pas une information véritablement claire. Ce manque de transparence est bien entendu de nature à entacher la validité du consentement de l’utilisateur à la collecte de ses données personnelles.

En marge des questions liées à la protection de la vie privée, il faut enfin remarquer que les espiogiciels mobilisent des ressources de l’ordinateur lorsqu’ils sont actifs en tâche de fond (mémoire disque, mémoire vive et bande passante pour les transmissions de données).

Maîtriser les espiogiciels

En pratique, plusieurs mesures peuvent être suivies par l’internaute pour se prémunir des effets non désirés des espiogiciels.

• Prudence est mère de sûreté

Il convient tout d’abord de prendre garde à ce que l’on installe sur son ordinateur. Une plus grande vigilance est notamment recommandée dans le cas des logiciels téléchargés auprès de sources non clairement identifiées.

Une des caractéristiques majeures des espiogiciels est qu’ils sont souvent installés à l’insu de l’utilisateur. Lorsqu’elles existent, les boîtes de dialogue d’installation offrent ainsi rarement à l’utilisateur la possibilité de s’opposer à la mise en Å“uvre de leurs fonctionnalités. Lorsqu’une installation personnalisée d’un logiciel est proposée, on désactivera les modules additionnels qui ne sont pas absolument nécessaires au fonctionnement du logiciel.

Un certain discernement quant aux actions à effectuer, propre aux utilisateurs avertis, est cependant nécessaire.

• Lire attentivement entre les lignes

Une seconde précaution élémentaire consiste à lire attentivement le Contrat de Licence d’Utilisateur Final (CLUFCLUF« Contrat de Licence d'Utilisateur Final ». Il s’agit des documents contractuels liant l’éditeur et l’utilisateur du logiciel. Le terme est souvent utilisé dans une acception large regroupant également les conditions d’utilisation du jeu. ou EULA pour End-User License Agreement) qui contient généralement en toutes lettres la mention de l’intégration de fonctionnalités de surveillance ou de collecte de données à caractère personnel dans le logiciel que l’utilisateur s’apprête à installer.

La difficulté vient du fait que ces contrats sont peu lisibles et souvent ambigus, ce qui n’incite pas à leur lecture. Il est toujours possible de refuser ce contrat de licence et de ne pas procéder à l’installation du programme. Le choix d’un logiciel concurrent disposant de fonctionnalités équivalentes mais dépourvu de fonctions d’espionnage pourra alors constituer une bonne alternative.

• Effectuer des diagnostics réguliers et surveiller les activités de sa machine

Le moyen le plus efficace de se prémunir contre les espiogiciels est d’avoir recours à des programmes permettant de les identifier et de les mettre hors d’usage ou de les détruire.

Certains sites listent ainsi les espiogiciels connus, leur limite résidant dans l’absence d’exhaustivité et dans l’obsolescence rapide de ces listes.

Il existe encore plusieurs programmes anti-spyware, disponibles gratuitement sur l’internet, dont l’efficacité paraît satisfaisante (voir les liens ci-dessous). Ces logiciels permettent de réaliser des diagnostics des programmes installés sur un poste infomatique, ils identifient et permettent la désinstallation des espiogiciels indésirables.

La désinstallation d’un espiogiciel pourra parfois s’avérer difficile lorsque les fonctionnalités de ce dernier conditionnent le bon fonctionnement du programme principal.

L’usage de ces techniques de protection est toutefois réservé à des utilisateurs confirmés, une mauvaise manipulation des logiciels ou des effacements malencontreux de fichiers pouvant être préjudiciables au bon fonctionnement de la machine.

En cas de doute, n’hésitez pas à vous entourer des conseils de personnes qualifiées en informatique.

[1] actualité de la CNIL du 07/12/2001->http://www.cnil.fr/actu/communic/ac…

[2] actualité du 29/03/2002->http://www.foruminternet.org/actual…