Vous pouvez nous
contacter par
Messenger

Les logiciels à votre écoute

Rien ne les différencie en apparence des logiciels classiques, à part leur propension à la gratuité. Les spywares sont pourtant les représentants d'un nouveau business model, dans lequel les produits et services s'échangent contre une parcelle de vie privée. Face aux dérives réelles ou potentielles de ce système, les spécialistes américains ont tiré la sonnette d'alarme depuis plusieurs années déjà. En France, la majorité des internautes n'a même pas connaissance de leur existence...

Téléchargés sur internet ou trouvés dans le CD-Rom d'un magazine formatique, les spywares sont des logiciels (presque) comme les autres.

Deux types de spywares

Le spyware intégré (ou interne) est une routine incluse dans le code source d'un logiciel ayant une fonction propre pour lui donner la possibilité de collecter et de transmettre des informations par internet. Ces spywares sont téléchargeables séparément ou sont proposés à l'installation en même temps que d'autres programmes gratuits, eux-mêmes généralement des spywares, grâce à des accords entre éditeurs de logiciels. C'est le cas notamment de Gator, New.net, SaveNow, TopText, Alexa et Webhancer.
Le spyware externalisé est une application autonome dialoguant avec le logiciel principal qui lui est associé, et dont la seule fonction est de se charger de la "relation client" : collecte et transmission d'informations, affichage de bannières publicitaires, etc. Ces spywares sont conçus par des régies publicitaires ou des sociétés spécialisées comme Radiate, Cydoor, Conducent, Onflow ou Web3000, avec lesquelles les éditeurs de logiciels passent également des accords. Le spyware de Cydoor est par exemple associé au logiciel peer-to-peer KaZaA, et s'installe en même temps que lui.

Fonctionnement d'un spyware

Les spywares ont pour mission d'observer leurs utilisateurs et de collecter des données dans un but statistique, marketing ou commercial. La nature des données collectées et transmises est définie dans le code source du spyware lui-même. Il ne s'agit pas a priori de données nominatives, mais le cryptage des transmissions fait qu'il est difficile de s'en assurer
Les spywares ne sont ni des virus, ni des troyens, même s'il est possible de leur trouver de lointains points communs, comme le fait de s'installer sans que l'utilisateur ne le sache toujours, ou bien d'envoyer des données via internet à l'insu de l'utilisateur. La plupart des spywares optent en effet pour une extrême discrétion : ils agissent en tâche de fond, apparaissent rarement dans le Menu Démarrer de Windows, et dans le cas des spywares externalisés sont le plus souvent absents de la liste des programmes installés figurant dans le Panneau de configuration.
Dans le cas d'un spyware publicitaire comme Cydoor, l'installation copie sur le disque les fichiers nécessaires au fonctionnement de l'application (cd_load.exe, cd_clint.dll et cd_htm.dll), crée un répertoire pour stocker les bannières qui seront affichées à l'utilisateur même lorsqu'il sera hors ligne (Windows/System/AdCache), puis modifie la base de registres. L'analyse des informations collectées par le spyware permet de déterminer les préférences de l'utilisateur et de lui proposer des bannières publicitaires ou des mails promotionnels toujours plus ciblés, en rémunérant au passage les éditeurs de logiciels partenaires.
Le spyware s'exécute souvent automatiquement au démarrage de Windows et mobilise donc en permanence une partie des ressources du système. Certaines fonctionnalités annexes comme la mise à jour automatique peuvent représenter un réel danger pour la sécurité de l'utilisateur, en permettant le téléchargement et l'installation à son insu d'un autre programme ou spyware, voire d'un programme hostile dans le cas du détournement du système par une personne malveillante.

Règles générales de protection

Depuis les scandales provoqués en 1999 par la découverte de spywares dans SmartUpdate (Netscape) et RealJukeBox (Real Networks), la pratique est devenue plus transparente et les éditeurs de logiciels communiquent davantage sur le sujet. Quelques règles simples peuvent être observées :
• lire attentivement les conditions d'utilisation d'un logiciel avant de l'installer. L'existence d'un spyware et de ses fonctionnalités annexes y sont normalement signalées, même s'il faut bien souvent lire entre les lignes car le spyware y est présenté en des termes édulcorés voire trompeurs, voire parce que tout est fait pour que l'utilisateur évite de lire lesdites conditions d'utilisation. Ces dernières détaillent également les droits accordés aux utilisateurs ;
• ne pas accepter sans réfléchir les programmes supplémentaires éventuellement proposés lors de l'installation d'un logiciel, mais décider en connaissance de cause. New.net, SaveNow et Webhancer sont ainsi proposés par défaut lors de l'installation de KaZaA, mais il suffit de décocher les cases correspondantes pour qu'ils ne soient pas installés ;
• surveiller les demandes d'autorisation de connexion à internet provenant du firewall, afin de détecter toute application suspecte. C'est une autre bonne raison d'installer un firewall personnel (voir plus loin) ;
• s'informer auprès de sites spécialisés. Secuser.com et sa lettre d'information hebdomadaire Secuser News aborde régulièrement la question des spywares.
Dans le doute, il est également conseillé d'exécuter un antispyware (voir plus loin) après l'installation d'un logiciel suspect, afin de s'assurer de ne pas avoir installé un spyware sans le savoir.

Comment détecter la présence d'un spyware ?

Le plus simple pour détecter la présence d'un spyware est de procéder par des moyens indirects, à savoir son activité, la présence de fichiers caractéristiques ou le nom du logiciel suspect.
Il existe en effet des listes de spywares, consultables en l'état, sous forme de moteurs de recherche ou encore d'utilitaires dédiés. Près d'un millier de logiciels (spywares intégrés ou programmes associés à un spyware externalisé) ont ainsi été recensés, dont Babylon Translator, GetRight, Go!Zilla, Download Accelerator, Cute FTP, PKZip, KaZaA ou encore iMesh :

Cette méthode de détection est simple, mais aucun site ne peut prétendre à l'exhaustivité : même l'utilitaire Ad-Search (LavaSoft) édité par un spécialiste du sujet est incomplet. Elle ne constitue donc qu'une première approche, qui reste très pédagogique car elle permet de mesurer l'ampleur du phénomène.
Certains firewalls personnels sont capables de filtrer le trafic sortant sur une base applicative, c'est-à-dire que chaque application souhaitant accéder à internet doit au préalable y avoir été autorisée. Pour ce faire, une alerte est émise, comme ici avec ZoneAlarm (ZoneLabs) et le spyware Webhancer :

Cette solution donne de bons résultats avec la plupart des spywares, y compris si le spyware est une DLL (l'application qui tente de se connecter à internet est alors RUNDLL32.EXE), mais elle ne peut rien contre les spywares intégrés si le logiciel concerné a déjà été autorisé à accéder à internet dans le cadre de son fonctionnement normal. L'utilisateur doit par ailleurs être suffisamment compétent pour pouvoir décider si l'application qui tente de se connecter doit ou non y être autorisée.
C'est pourquoi des antispywares ont été conçus sur le modèle des antivirus, afin de détecter les spywares sur la base de signatures. Utilisables facilement même par des non initiés, ils permettent de détecter un spyware même s'il n'est pas actif, mais restent dépendants de la mise à jour du fichier des signatures. OptOut étant abandonné, le plus performant des antispywares actuels est Ad-Aware (LavaSoft), qui a par ailleurs le mérite d'exister en version française :

Ce programme permet de scanner la mémoire de l'ordinateur, la base de registres et les fichiers des différents disques à la recherche des composants indiquant la présence d'un spyware.

Comment faire pour éliminer un spyware ?

La désinstallation d'un logiciel supprime rarement les spywares installés avec lui. Ainsi, la désinstallation de KaZaA ne supprime ni son spyware externalisé Cydoor, ni les autres spywares installés avec ce logiciel.
Pour éliminer un spyware intégré, il suffit le plus souvent d'aller dans le Panneau de configuration de Windows et de désinstaller l'application correspondante. Dans le cas d'un spyware externalisé, il est par contre généralement nécessaire de passer par une procédure fournie par son éditeur dans une obscure FAQ, ou plus efficacement d'utiliser Ad-Aware en supprimant les fichiers constitutifs du spyware :

Dans la plupart des cas, l'élimination d'un spyware externalisé fera que le logiciel associé cessera de fonctionner, affichant un message du type : "Vous avez effacé un composant du logiciel nécessaire à son exécution. Le logiciel ne fonctionnera plus mais vous pouvez le réinstaller".

Spyware ou pas spyware ?

Contrairement à la publicité en ligne telle que gérée par la régie DoubleClick, qui par l'intermédiaire des sites internet de tous ses clients collecte et centralise elle aussi des données sur les préférences de chaque internaute*, les spywares ont le mérite de n'être actifs que lorsque l'utilisateur installe un de ces logiciels en contrepartie de son utilisation gratuite, laissant la liberté aux autres internautes de ne pas en installer ou d'opter pour une version payante dépourvue de spyware.
Malheureusement, les éditeurs de logiciels ont rapidement été tentés de profiter de la discrétion des spywares pour en dissimuler l'existence ou pour les laisser implantés même lorsque le logiciel associé est désinstallé. Ces pratiques abusives ont complètement décrédibilisé le concept, jetant la suspicion y compris sur la nature réelle des informations collectées.
L'utilisateur qui ne souhaite pas installer de spyware doit donc rester vigilant et suivre ces quelques conseils. Ceux qui seraient tout de même tentés par l'opération ont tout intérêt à lire en détail les conditions d'utilisation du logiciel et surtout à garder à l'esprit qu'elles sont le plus souvent conformes au droit américain, donc beaucoup moins protectrices en matière de vie privée qu'en Europe. Il est ainsi recommandé de ne pas donner son adresse email permanente, mais si nécessaire de se créer un compte gratuit qui pourra être fermé sans remords, notamment en cas de spamming.

Spyware connu ?

2020Search	n-Case (nCase) Interstitial	NewtonKnows
Active-Max	Myway / MyBar / SpeedBar	PowerScan
Alexa	MySearch / MyWebSearch	PurityScan
ASpam	LOP (Live Online Portal)	Rapid Blaster (rb32.exe)
Aureate	Look2Me	SaveNow (save.exe)
Backweb Lite	ILookUp (TopText, windec32.dll)	SearchBy
Bargain Buddy	Incredimail	SearchEx
BlazeFind	IGetNet	SeekSeek
Bonzi Buddy	Ezula (HotText, mmod.exe)	SlawSearch
Booked Space	FastSeeker	Stoolbar
Comet Cursor	Flind4U	SuperBar
Comsoft	Fly Swat	t.rack.cc
CoolSearch	Free Scratch and Win	TinyBar
CoolWebSearch (mshp.dll)	Free Scratch Cards	TopSearcher
ClearSearch	Gator (GAIN, Trickler, gmt.exe)	WebHancer
Cydoor	Global-Finder.com	WhazIt
DashBar	GoHip	WhenU
Exact Search	Hotbar	Xupiter
EzCyberSearch	Huntbar	XXXToolbar
	...et plus encore