Programmes malveillants et IAP

Cette page Web a été archivée dans le Web

L’information dont il est indiqué qu’elle est archivée est fournie à des fins de référence, de recherche ou de tenue de documents. Elle n’est pas assujettie aux normes Web du gouvernement du Canada et elle n’a pas été modifiée ou mise à jour depuis son archivage. Pour obtenir cette information dans un autre format, veuillez communiquer avec nous.

Maxim Weinstein

Mars 2009

Avis de non-responsabilité :Les opinions exprimées dans ce document sont celles de l'auteur. Elles ne reflètent pas nécessairement celles du Commissariat à la protection de la vie privée du Canada.

Nota : Cet essai a été communiqué par l'auteur au Commissariat à la protection de la vie privée pour le Project d'inspection approfondie des paquets.


Depuis quelques années, StopBadware est le moteur d’un mouvement communautaire visant à élaborer et à mettre à jour des lignes directrices qui définiraient ce que sont les programmes malveillants, et à obliger les fabricants de logiciels à rendre des comptes lorsque leurs applications s’écartent de ces lignes directrices. La définition de ce type de logiciel ayant évolué, elle englobe maintenant un surensemble de logiciels qui inclut les programmes malveillants habituels (virus, cheval de Troie, etc.), certains types de logiciels publicitaires et espions, ainsi que certaines applications grand public. Ce qui relie ces logiciels malveillants est l’absence de contrôle de l’utilisateur. Ce manque de contrôle – l’utilisateur ne contrôle plus son ordinateur, ses renseignements personnels et son activité en ligne – est une menace tant pour la sécurité des internautes que pour la protection de leur vie privée. Contrairement aux logiciels que StopBadware étudie habituellement, la nouvelle génération d’applications publicitaires découlant de l’inspection approfondie des paquets (IAP) ne s’installe par sur l’ordinateur de l’utilisateur. Ces applications sont plutôt des systèmes complexes conçus par le créateur du produit en collaboration avec un FAI. Les programmes et le matériel informatique résident « dans les nuages ». Comme ce système a néanmoins des répercussions directes sur l’utilisateur, son ordinateur et ses renseignements personnels, il est logique d’estimer que les mêmes principes fondamentaux de contrôle de l’utilisateur, même si la mise en œuvre se fait différemment, devraient s’appliquer.

Voyons maintenant comment fonctionnent les systèmes publicitaires qui utilisent l’IAP en prenant pour exemplel’analyse de Phorm Note de bas de page 1, qui est l’un de ces systèmes :

  1. La publicité présentée à l’utilisateur par les sites Web participants est choisie en fonction de son historique de navigation.
  2. Le FAI compile l’historique de visite de l’utilisateur, pages Web et contenu, et le relie à un identifiant unique associé à l’ordinateur et au navigateur de l’internaute.
  3. Ces renseignements sur l’utilisateur sont ensuite envoyés, partiellement anonymisés, par le FAI au fournisseur du système publicitaire.
  4. Certaines sessions de navigation de l’utilisateur sont interceptées à son insu et redirigées vers les serveurs du système publicitaire.
  5. Les témoins enregistrés sur l’ordinateur de l’utilisateur par les sites Web visités sont modifiés par le système publicitaire, qui se fait passer pour le site Web que l’utilisateur tentait de visiter.

À laquelle des étapes précédentes est-il raisonnable de penser que l’utilisateur devrait avoir le contrôle? Peut-être pas la première, puisque les utilisateurs sont maintenant habitués à la publicité ciblée. Bien que la méthode de ciblage (points 2 à 5) soit contestable, lorsque l’utilisateur moyen visite un site Web, il accorde peu d’importance au choix de publicité.

Les étapes 2 et 3 impliquent la divulgation, à des intervenants inattendus, de renseignements qu’un utilisateur pourrait considérer comme personnels (les sites qu’il visite et leur contenu). Que le système soit conçu pour assurer l’anonymat des données (lorsqu’il fonctionne adéquatement et que le personnel du FAI ou du publicitaire ne se livre pas à des pratiques abusives) ne suffit pas. Un utilisateur devrait savoir que des données sont recueillies et divulguées, et pouvoir juger de la capacité des entreprises à respecter leur engagement en matière de confidentialité.

Les étapes 4 et 5 soulèvent un autre type de question de confiance : un utilisateur peut-il être certain que son FAI transférera les données de son ordinateur à un autre par Internet sans entrave? Il est raisonnable de croire que, même si le FAI peut diriger le trafic dans diverses directions, il achemine toujours les renseignements à la destination voulue. On peut discuter de l’admissibilité d’une telle interférence du FAI, même avec l’aval de l’utilisateur, mais il n’en demeure pas moins que les internautes devraient pouvoir avoir un contrôle sur une décision qui change fondamentalement le rôle du FAI.

Il est évident que les mêmes principes de contrôle de l’utilisateur qui s’appliquent aux applications locales devraient s’appliquer aux systèmes publicitaires à IAP, vu les répercussions importantes qu’ils ont sur les utilisateurs. Il faudrait, au minimum, que les FAI mettent en place un système qui aviserait l’utilisateur en termes simples, de façon claire, précise et sans équivoque, et qui nécessiterait son consentement avant utilisation. Le défi, inévitable pour les FAI qui envisagent la mise en place d’un tel système, sera de rendre un tel avis suffisamment clair et compréhensible pour la majorité, pour que les attentes de l’utilisateur soient réalistes. La grande majorité des créateurs de logiciels reconnus ont décidé de relever ce défi et nous nous attendons à ce que les FAI fassent preuve du même respect envers le contrôle que devraient pouvoir exercer les internautes.

Signaler un problème ou une erreur sur cette page
Veuillez cocher toutes les réponses pertinentes (obligatoire) : Erreur 1 : Ce champ est obligatoire.

Remarque

Date de modification :