Par Emmanuel JUD (02/12/02)

Rien ne les différencie en apparence des logiciels classiques, à part leur propension à la gratuité. Les spywares sont pourtant les représentants d'un nouveau modèle économique, dans lequel les produits et services s'échangent contre une parcelle de vie privée. Après les scandales provoqués en 1999 par la découverte de spywares dans deux logiciels très populaires, la pratique est devenue plus transparente mais les abus restent nombreux.
Téléchargés sur internet ou trouvés dans le CD-Rom d'un magazine informatique, les spywares sont des logiciels (presque) comme les autres.

Qu'est-ce qu'un spyware?

Un spyware, en français "espiogiciel" ou "logiciel espion", est un programme ou un sous-programme conçu dans le but de collecter des données personnelles sur ses utilisateurs et de les envoyer à son concepteur ou à un tiers via internet ou tout autre réseau informatique, sans avoir obtenu au préalable une autorisation explicite et éclairée desdits utilisateurs.

Même préalablement informé d'un éventuel tracking, l'utilisateur n'en reste pas moins soumis à une surveillance dont la nature peut s'avérer illégale du point de vue de la législation de son pays. L'analyse de sa navigation sur internet peut ainsi par exemple permettre de déduire et de stocker des informations - réelles ou supposées - sur ses origines raciales, ses opinions politiques, philosophiques ou religieuses ou encore son appartenance syndicale, ce qui est interdit en France sans le consentement de l'intéressé.

Une autre définition du spyware pourrait être un logiciel commercial (c'est-à-dire légalement disponible dans le commerce, payant ou gratuit) que son mode de financement ou son mode de fonctionnement amène à recueillir puis transmettre à un tiers des données personnelles concernant ses utilisateurs, sans avoir obtenu au préalable une autorisation explicite et éclairée de ces derniers. Les spywares sont donc différents des chevaux de Troie et autres enregistreurs de frappes au clavier (keyloggers), contrairement à une déformation récente de leur définition, même si ces derniers peuvent également être utilisés pour collecter et envoyer des données sensibles, dans un but cette fois clairement malveillant.

Les spywares sont parfois confondus avec les adwares, ces logiciels dont l'auteur se rémunère par l'affichage de bannières publicitaires, sans pour autant recueillir ni transmettre de données personnelles et sans forcément porter atteinte à la vie privée de leurs utilisateurs (le navigateur Opéra ou le logiciel de messagerie Eudora en version gratuite sont des adwares). Ils sont également confondus à tort avec les cookies et les web-bugs, qui ne sont pas des programmes espions mais plutôt des procédés techniques dont la mise en oeuvre peut être détournée pour porter atteinte à la vie privée.

Deux types de spywares

Une première classification des spywares peut être établie en tenant compte de leur fonction, à savoir le commerce ou le renseignement :

les spywares commerciaux collectent des données sur leurs utilisateurs et interagissent de manière visible avec eux, en gérant l'affichage de bannières publicitaires ciblées, en déclenchant l'apparition de fenêtres pop-up, voire en modifiant le contenu des sites web visités afin par exemple d'y ajouter des liens commerciaux. Ce sont les spywares les plus courants. Leur existence est généralement mentionnée dans la licence d'utilisation du logiciel concerné, mais souvent dans des termes ambigus et/ou dans une langue étrangère, ce qui fait que l'utilisateur n'est pas correctement informé. Ils se présentent généralement sous la forme de logiciels gratuits, pour les éditeurs desquels ils constituent une source de revenu ;
les mouchards collectent également des données sur leurs utilisateurs mais le font dans la plus totale discrétion. La surveillance et la réutilisation éventuelle des données collectées se font à l'insu des utilisateurs, généralement dans un but statistique ou marketing, de débogage ou de maintenance technique, voire de cybersurveillance. L'existence de ces mouchards est délibérément cachée aux utilisateurs. Ils peuvent concerner n'importe quel logiciel, qu'il soit gratuit ou payant, mais de par leur nature ils sont peu fréquent, le risque en terme d'image en cas de découverte et médiatisation de l'existence du mouchard par un utilisateur étant à lui seul dissuasif pour la plupart des éditeurs.
Une seconde classification peut être opérée en fonction de la nature des spywares, à savoir leur constitution logicielle :

le spyware intégré (ou interne) est une simple routine incluse dans le code d'un programme ayant une fonction propre pour lui donner en plus la possibilité de collecter et de transmettre via internet des informations sur ses utilisateurs. Les logiciels concernés sont par exemple Gator, New.net, SaveNow, TopText, Alexa ou Webhancer ainsi que la totalité des mouchards. Le spyware et le programme associé ne font qu'un et s'installent donc simultanément sur l'ordinateur de l'utilisateur ;
le spyware externalisé est une application autonome dialoguant avec le logiciel qui lui est associé, et pour le compte duquel elle se charge de collecter et de transmettre les informations sur ses utilisateurs. Ces spywares sont conçus par des régies publicitaires ou des sociétés spécialisées comme Radiate, Cydoor, Conducent, Onflow ou Web3000, avec lesquelles les éditeurs de logiciels passent des accords. Le spyware de Cydoor est par exemple associé au logiciel peer-to-peer KaZaA, et s'installe séparément mais en même temps que lui.
Une nouvelle tendance encore plus contestable concerne les utilisateurs du navigateur Internet Explorer. Certains spywares comme Gator cherchent à s'installer automatiquement sur le poste de l'internaute au moyen de la technologie ActiveX, lors de la visite de pages web peu recommandables.

Fonctionnement d'un spyware

Dans le cas des spywares commerciaux, avant de pouvoir procéder à l'installation du logiciel gratuit convoité l'utilisateur est généralement invité à fournir certaines informations personnelles voire nominatives (email, nom, âge, sexe, pays, profession, etc.). Un identifiant unique est alors attribué à l'ordinateur de l'internaute, qui permettra de relier les données collectées et centralisées dans une gigantesque base de données aux informations personnelles fournies par l'utilisateur, voire éventuellement à d'autres informations recueillies sans préavis (configuration, logiciels installés, etc.).

L'analyse de ces données permet de déterminer les habitudes d'utilisation, les centres d'intérêts voire les comportements d'achat de l'utilisateur et de lui proposer ainsi des bannières publicitaires, des courriers électroniques promotionnels ou des informations commerciales contextuelles toujours plus ciblés, en rémunérant au passage les éditeurs de logiciels partenaires. Dans le cas du spyware commercial Cydoor, l'installation du programme copie sur le disque les fichiers nécessaires au fonctionnement de l'application (cd_load.exe, cd_clint.dll et cd_htm.dll), crée un répertoire pour stocker les bannières qui seront affichées à l'utilisateur même lorsqu'il sera hors ligne (Windows/System/AdCache/), puis modifie la base de registres.

La plupart des spywares fonctionnent avec une extrême discrétion : ils agissent en tâche de fond, apparaissent rarement dans le Menu Démarrer de Windows et même dans le cas des spywares externalisés sont le plus souvent absents de la liste des programmes installés figurant dans le Panneau de configuration. Dans le cas des spywares commerciaux, il est normalement fait état de leur existence dans la licence du logiciel mais ça n'est pas toujours le cas et c'est souvent en des termes trompeurs, décrivant rarement le détail des informations collectées et l'utilisation qui en sera faite. Quel que soit le type de spywares, les données collectées et transmises sont définies dans le code source du spyware, et le cryptage des transmissions fait qu'il est difficile de s'assurer de leur nature exacte.

Le spyware s'exécute souvent automatiquement au démarrage de Windows et mobilise donc en permanence une partie des ressources du système. Pour collecter certaines données, les spywares peuvent également être amenés à modifier des fichiers vitaux gérant par exemple les accès à internet, ce qui peut conduire à des dysfonctionnements importants en cas d'échec de l'installation ou de la désinstallation du spyware. Certaines fonctionnalités annexes comme la mise à jour automatique peuvent aussi représenter un danger pour la sécurité de l'utilisateur, en permettant le téléchargement et l'installation à son insu d'un autre programme ou d'un autre spyware, voire d'un programme hostile dans le cas du détournement du système par une personne malveillante.

Règles générales de protection

Depuis les scandales provoqués en 1999 par la découverte de spywares dans SmartUpdate (Netscape) et RealJukeBox (Real Networks), la pratique est devenue plus transparente dans le cas des spywares commerciaux, même si les abus restent nombreux. Quelques règles simples peuvent être observées :

lisez attentivement les conditions d'utilisation d'un logiciel avant de l'installer. L'existence d'un spyware commercial et de ses fonctionnalités annexes y sont normalement signalées, même s'il faut bien souvent lire entre les lignes car le spyware y est présenté en des termes édulcorés voire trompeurs, voire parce que tout est fait pour que l'utilisateur évite de lire lesdites conditions d'utilisation. Si vous ne comprenez pas la langue dans laquelle est rédigée une licence d'utilisation vous ne devriez pas installer le logiciel concerné ;
réfléchissez bien avant de dévoiler des informations personnelles. Dans le meilleur des cas, les conditions d'utilisation sont généralement conformes au droit américain, donc beaucoup moins protectrices en matière de vie privée qu'en Europe. Notamment ne donnez pas votre adresse email permanente chez votre fournisseur d'accès mais plutôt un compte d'email gratuit qui pourra être fermé en cas de spamming ;
n'acceptez pas sans réfléchir les programmes supplémentaires éventuellement proposés lors de l'installation d'un logiciel. New.net, SaveNow et Webhancer sont ainsi proposés par défaut lors de l'installation de KaZaA, mais il suffit de décocher les cases correspondantes pour qu'ils ne soient pas installés ;
installez un firewall personnel et surveillez les demandes d'autorisation de connexion à internet, afin de détecter toute application suspecte. C'est une autre bonne raison d'installer un firewall personnel ;
informez-vous auprès de sites spécialisés. Secuser.com et sa lettre d'information hebdomadaire Secuser News aborde régulièrement la question des spywares au travers de l'actualité ou de dossiers ;
gardez enfin à l'esprit qu'installer un logiciel n'est jamais une opération anodine : cela revient à autoriser le programme à effectuer toutes les opérations qu'il souhaite sur votre disque dur. Outre un spyware, un programme douteux peut contenir un virus ou un troyen, donc un minimum de précaution s'impose.
Les spywares commerciaux n'étant pas des virus ni des troyens, analyser son disque dur avec un antivirus à jour n'assure pas de l'absence d'un spyware. Il existe cependant d'autres moyens de les détecter voire de les éliminer : il est ainsi utile d'exécuter un antispyware périodiquement ou après l'installation d'un logiciel douteux, pour s'assurer de ne pas avoir installé un spyware sans le savoir.

Comment détecter la présence d'un spyware ?

Le plus simple pour détecter la présence d'un spyware est de procéder par des moyens indirects, à savoir son activité, la présence de fichiers caractéristiques ou le nom du logiciel suspect. Les moyens ci-dessous sont assez faciles à mettre en oeuvre, mais ne concernent que les spywares commerciaux ainsi que les mouchards dont l'existence a été découverte.

Il existe ainsi des listes de spywares, consultables en l'état, sous forme de moteurs de recherche ou encore d'utilitaires dédiés. Près d'un millier de logiciels (spywares intégrés ou programmes associés à un spyware externalisé) ont ainsi été recensés, dont Babylon Translator, GetRight, Go!Zilla, Download Accelerator, Cute FTP, PKZip, KaZaA ou encore iMesh :



Cette méthode de détection est simple, mais aucun site ne peut prétendre à l'exhaustivité : même l'utilitaire Ad-Search (LavaSoft) édité par un spécialiste du sujet est incomplet. Elle ne constitue donc qu'une première approche, qui reste très pédagogique car elle permet de mesurer l'ampleur du phénomène.

Certains firewalls personnels sont capables de filtrer le trafic sortant sur une base applicative, c'est-à-dire que chaque application souhaitant accéder à internet doit au préalable y avoir été autorisée. Pour ce faire, une alerte est émise, comme ici avec ZoneAlarm (ZoneLabs) et le spyware Webhancer :



cette solution donne de bons résultats avec la plupart des spywares, y compris si le spyware est un fichier DLL (l'application qui tente de se connecter à internet est alors RUNDLL32.EXE), mais elle ne peut rien contre les spywares intégrés si le logiciel concerné a déjà été autorisé à accéder à internet dans le cadre de son fonctionnement normal. L'utilisateur doit par ailleurs être suffisamment compétent pour pouvoir décider si l'application qui tente de se connecter doit ou non y être autorisée.

C'est pourquoi des antispywares ont été conçus sur le modèle des antivirus, afin de détecter les spywares sur la base de signatures. Utilisables facilement même par des non initiés, ils permettent de détecter un spyware même s'il n'est pas actif, mais restent dépendants de la mise à jour du fichier des signatures. OptOut étant abandonné, le plus performant des antispywares gratuits actuels est Ad-Aware (LavaSoft), qui a par ailleurs le mérite d'exister en version française :



Ce programme permet de scanner la mémoire de l'ordinateur, la base de registres et les différents disques à la recherche des composants indiquant la présence d'un spyware connu. En version payante, il dispose même d'un moniteur capable de surveiller le système en permanence et d'empêcher l'installation d'un spyware en temps réel.

Comment faire pour éliminer un spyware ?

La désinstallation d'un logiciel ne supprime pas forcément le spyware installé avec lui. Ainsi, la désinstallation de KaZaA ne supprime ni son spyware externalisé Cydoor, ni les autres spywares installés avec ce logiciel.

Pour éliminer un spyware intégré, il suffit le plus souvent de désinstaller l'application correspondante depuis le Panneau de configuration de Windows. Dans le cas d'un spyware externalisé, il est par contre généralement nécessaire de passer par une procédure fournie par son éditeur dans une obscure FAQ, ou plus efficacement d'utiliser Ad-Aware en supprimant les fichiers constitutifs du spyware :



Dans la plupart des cas, l'élimination d'un spyware externalisé fera que le logiciel associé cessera de fonctionner, affichant un message du type : "Vous avez effacé un composant du logiciel nécessaire à son exécution. Le logiciel ne fonctionnera plus mais vous pouvez le réinstaller". Certains antispywares permettent de bloquer ou de neutraliser un spyware tout en continuant à utiliser son logiciel associé, mais leur utilisation est assimilable à du piratage, les contrats de licence faisant généralement du spyware une contrepartie obligatoire à l'utilisation gratuite du logiciel associé.

NB : les logiciels antispywares incluent souvent la détection de certains cookies dans leurs signatures, au risque d'affoler les non initiés car les cookies ne sont pas des spywares. Ce sont de simples fichiers texte gérés par votre navigateur Internet qui permettent aux sites web visités de stocker certaines informations sur votre disque dur - personnelles ou non, en fonction des données que vous confiez à ces sites - afin de pouvoir les retrouver lors de votre parcours dans le site ou lors de votre prochaine visite. Si vous ne souhaitez pas autoriser les sites web à utiliser des cookies, il suffit de désactiver ou de limiter strictement cette option dans votre navigateur web.

Spyware or not spyware ?

S'il ne peut y avoir aucune hésitation à condamner les mouchards et plus globalement le principe visant à espionner les utilisateurs à leur insu, contrairement à la publicité en ligne telle que pratiquée par la régie DoubleClick - qui par l'intermédiaire des sites web de tous ses clients collecte et centralise elle aussi des données sur les préférences de chaque internaute* - le tracking opéré par les spywares commerciaux a le mérite de ne concerner que les utilisateurs qui décident d'installer un de ces logiciels, laissant donc la liberté aux autres internautes de ne pas en installer ou d'opter pour une version payante dépourvue de spyware.

Malheureusement, au lieu d'opter pour la transparence et d'en expliquer clairement les enjeux, beaucoup d'éditeurs de logiciels ont été tentés de profiter de la discrétion des spywares pour en dissimuler l'existence ou pour les laisser implantés même après la désinstallation du logiciel associé. Des pratiques abusives qui ont rapidement décrédibilisé le concept, jetant la suspicion y compris sur la nature réelle des informations collectées. Les spywares commerciaux sont ainsi devenus aux freewares et aux sharewares ce que le spamming est à l'e-mailing. Ils ont d'ailleurs également créé un marché spécifique, puisqu'aux spywares qui exploitent la confiance ou l'ignorance des internautes viennent désormais s'ajouter un nombre croissant d'utilitaires antispywares payants qui exploitent les peurs - et il faut bien le dire aussi parfois l'ignorance - de ces mêmes internautes.

Qu'il se résigne à voir ses données personnelles converties en dollars à son insu par d'obscurs logiciels ou qu'il choisisse de se protéger par l'acquisition d'utilitaires toujours plus nombreux et coûteux, l'internaute est-il condamné à payer la facture des spywares quelle qu'en soit la monnaie? Heureusement que non, mais sauf à renoncer à installer de nouveaux programmes sur son ordinateur, il devra chercher à s'informer et surtout faire preuve d'un minimum de vigilance s'il souhaite que sur Internet sa vie reste privée.