Logiciel privateur - Projet GNU - Free Software Foundation

Le logiciel privateur est souvent malveillant

On appelle logiciel privateur, ou logiciel non libre, un logiciel qui ne respecte pas la liberté des utilisateurs et leur communauté. Un programme privateur met son développeur ou son propriétaire en position d'exercer un pouvoir sur les utilisateurs. Ce pouvoir est en soi une injustice.

Cette page vous montrera par des exemples que cette injustice première conduit souvent à d'autres injustices : les fonctionnalités malveillantes.

Le pouvoir corrompt ; le développeur du programme privateur est tenté de concevoir ce dernier de telle sorte qu'il fasse du tort aux utilisateurs (un programme de ce type est appelé malware, ou logiciel malveillant). Bien sûr, le développeur ne fait généralement pas cela par méchanceté, mais plutôt pour faire du profit sur le dos des utilisateurs. Cela ne rend pas cet état de fait moins mauvais ni plus légitime.

Succomber à cette tentation devient de plus en plus fréquent ; c'est pratique courante de nos jours. Un logiciel privateur moderne est typiquement une occasion de se faire piéger, malmener, harceler ou arnaquer.

Les services en ligne ne sont pas des logiciels publiés, mais par ses mauvais côtés l'utilisation d'un service est équivalente à celle d'un logiciel publié. En particulier, un service peut être conçu pour maltraiter l'utilisateur ; beaucoup le font. Cependant, nous ne présentons pas ici d'exemples de desservices, pour deux raisons. D'une part, un service (malveillant ou non) n'est pas un programme installable et les utilisateurs n'ont aucun moyen de le modifier. D'autre part, il est si évident qu'un service peut maltraiter les utilisateurs si son propriétaire le souhaite que nous n'avons pas vraiment besoin de le prouver.

Toutefois, la plupart des services en ligne obligent l'utilisateur à faire tourner une appli non libre. L'appli est un logiciel publié, par conséquent nous répertorions les fonctionnalités malveillantes de ces applis. Comme le service impose son mauvais traitement à l'utilisateur par le biais de l'appli, nous mentionnons également ces mauvais traitements, mais nous essayons de différencier explicitement ce que fait l'appli de ce que fait le desservice.

Lorsqu'un site web donne accès à un service, il est très probable qu'il envoie au navigateur de l'utilisateur un logiciel JavaScript qui s'y exécute. Ce code JavaScript est un logiciel publié et il est moralement équivalent aux autres applis non libres. S'il fait des choses malveillantes, nous voulons les mentionner ici.

Lorsque nous parlons des téléphones mobiles, nous signalons une autre particularité malveillante, la géolocalisation, qui est inhérente aux communications hertziennes plutôt qu'aux logiciels contenus dans les téléphones.

En juin 2025, les pages de ce répertoire dénombraient à peu près 650 cas de fonctionnalités malveillantes (appuyés par plus de 770 références), mais il y en a sûrement des milliers d'autres dont nous ne savons rien.

En principe, nous devrions signaler chaque cas. Si vous rencontrez un cas non répertorié, veuillez écrire à <webmasters@gnu.org> pour nous le signaler, en vous référant à un article fiable décrivant clairement le comportement malveillant dont il s'agit. Nous n'ajouterons cet exemple qu'avec un lien vers de la documentation.

Si vous voulez être informé des nouvelles rubriques ou autres changements, abonnez-vous à la liste de diffusion <www-malware-commits@gnu.org>.

Injustices ou techniques	Produits ou sociétés
Addiction Portes dérobées (1) Censure Coercition Dissimulation Tromperie DRM (2) Escroquerie Incompatibilité Insécurité Ingérence Prisons (3) Manipulation Obsolescence Sabotage Abonnements Surveillance Ancrage à un serveur (4) Tyrannie (5) Dans les tuyaux	Appareils divers Voitures Téléconférence EdTech Jeux Mobiles Pages web Adobe Amazon Apple Google Microsoft
Porte dérobée : toute fonctionnalité d'un programme qui permet à un tiers n'ayant pas, en principe, le contrôle de l'ordinateur sur lequel il est installé de lui envoyer des commandes. Gestion numérique des restrictions ou « DRM » : fonctionnalités conçues pour limiter ce que les utilisateurs peuvent faire avec leurs ordinateurs. Prison : système qui impose une censure aux programmes d'application. Ancrage : présence de fonctionnalités qui exigent une connection à un nombre limité de serveurs par un protocole que vous ne pouvez pas utiliser sur votre propre serveur. Tyrannie : rejet de tout système d'exploitation non « autorisé » par le fabricant.

Injustices ou techniques

Produits ou sociétés

Porte dérobée : toute fonctionnalité d'un programme qui permet à un tiers n'ayant pas, en principe, le contrôle de l'ordinateur sur lequel il est installé de lui envoyer des commandes.
Gestion numérique des restrictions ou « DRM » : fonctionnalités conçues pour limiter ce que les utilisateurs peuvent faire avec leurs ordinateurs.
Prison : système qui impose une censure aux programmes d'application.
Ancrage : présence de fonctionnalités qui exigent une connection à un nombre limité de serveurs par un protocole que vous ne pouvez pas utiliser sur votre propre serveur.
Tyrannie : rejet de tout système d'exploitation non « autorisé » par le fabricant.

Les utilisateurs de logiciel privateur sont sans défense contre ces formes d'abus. La seule manière de les éviter est d'exiger du logiciel libre (respectueux de la liberté). Ses utilisateurs ont d'assez bons moyens de se défendre contre les fonctionnalités malveillantes puisque ce sont eux qui le contrôlent.

Ajouts récents

2025-07
Echelon a rétrogradé de force le micrologiciel de son équipement de musculation à domicile. Désormais, ces appareils ne fourniront toutes leurs fonctionnalités que s'ils sont connectés aux serveurs d'Echelon (uniquement avec un abonnement payant) tout en devenant incompatibles avec les applis tierces offrant des fonctionnalités supplémentaires. Le travail entrepris pour restaurer ces fonctionnalités hors ligne a été payant, mais le correctif ne peut être publié en raison de l'article 1201 de la DMCA (Digital Millenium Copyright Act – loi sur le copyright du millénaire numérique).

Notez que ces articles parlent d'« open source ». À la place, le projet GNU recommande l'expression logiciel libre.
2025-08
Google a annoncé l'inclusion dans les « smartphones » Android d'une mesure de « sécurité » qui s'assurera que tous les logiciels installés sur des appareils certifiés Android proviennent d'un développeur ayant suivi le nouveau programme de vérification de Google.

Le problème n'est pas l'existence d'un système qui garantit l'origine du logiciel. Un tel système peut être utile, mais l'utilisateur final doit être en mesure de choisir quelle organisation lui fournit ce service, ou éventuellement de créer une organisation à cet effet, ou encore de renoncer purement et simplement à ce service.

Le fait de donner l'exclusivité de cette vérification à Google nous amène à questionner la nature de la menace. Est-ce l'installation fortuite par l'utilisateur d'un logiciel malveillant ? Ou bien est-ce l'installation par l'utilisateur d'un logiciel qui ferait perdre de l'argent à Google ?
2025-08
Des chercheurs universitaires ont publié une attaque qui a conduit la prétendue « intelligence » [*] de Google à obéir à des commandes malveillantes lui ordonnant de manipuler des appareils dans la maison de l'utilisateur.

En donnant à Google le contrôle de vos appareils, ou le contrôle de l'informatique que vous faites pour votre compte sur ses serveurs, vous devenez inévitablement vulnérable à Google.

Cette annonce montre que vous devenez également vulnérable à des pirates tiers [**].

L'article dit que les découvreurs du piratage ont travaillé avec Google pour « minimiser » le danger. Que veut dire ici « minimiser », concrètement ? Dans ce cas, c'est probablement un terme ambigu suggérant que le problème a été résolu sans affirmer l'avoir résolu.

[*] N'appelons pas ces systèmes « intelligence artificielle ».L'intelligence est une chose qu'ils n'ont pas.

[**] Notez que cet article utilise le terme « hackers » à mauvais escient pour désigner des pirates informatiques (ou crackers).
2025-07
Samsung a désactivé l'option permettant de déverrouiller le chargeur d'amorçage dans la dernière version de sa distribution Android privatrice, ce qui rend impossible pour les utilisateurs l'installation d'un système d'exploitation tiers sur leurs appareils mobiles. Ceci prive les gens de leur liberté d'utiliser le système de leur choix (qui nous l'espérons est un système libre), et aussi de prolonger la vie de leur appareil un fois que Samsung aura cessé de mettre à jour son logiciel.
2025-06
Des chercheurs ont découvert que le pixel Meta et Yandex Metrica, traceurs insérés dans de nombreux sites web, profitaient de la mauvaise sécurisation de l'API d'Android pour espionner au profit de Meta et Yandex respectivement. Quand l'utilisateur d'un appareil Android visitait ces pages avec un navigateur comme Chrome, ces traceurs mettaient toutes les données de navigation à la disposition des applis natives qui s'exécutaient en arrière-plan. Ces données pouvaient ensuite être corrélées au compte utilisateur ou à l'Advertising ID d'Android, c'est-à-dire dé-anonymisées.

Bien que Meta et Yandex aient mis un terme à ce type d'espionnage, elles pourraient le reprendre à l'avenir, peut-être avec d'autres méthodes, et nous ne savons pas combien d'autres entreprises pourraient suivre leur exemple. Un moyen infaillible d'éviter ce traçage est de ne jamais installer aucune appli privatrice sur un téléphone « intelligent », particulièrement si l'appli a un moyen d'identifier l'utilisateur. Pour éviter les applis privatrices, nous vous recommandons de substituer le magasin F-Droid à Google Play.

Puisque la plupart des traceurs, en particulier le pixel Meta et Yandex Metrica, sont des programmes JavaScript non libres, une bonne chose à faire est d'empêcher le JavaScript non libre de s'exécuter dans le navigateur, à l'aide d'une extension comme GNU LibreJS.