Bloatware (synonymes craplet ou fatware) : logiciel inutile et « gonflant », au sens propre et au sens figuré, trouvé d'origine dans les ordinateurs neufs.

cr  01.04.2012      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Bloatware est un terme de l'industrie informatique.

Bloatware : ce néologisme est un mot-valise (et contraction) construit par la fusion du mot anglais « bloat » (gonfler, enfler, boursoufler) et du suffixe « ware » désignant un bien, une marchandise dont on fait un type. Dans l'industrie des logiciels, le rapprochement se fait avec « software » (« soft + ware »), désignant un objet « logiciel ».

Bloatwares (également appelé Craplets) - Logiciels inutiles et « gonflant », au sens propre et au sens figuré. Myriades de logiciels inutiles, versions de démonstration, versions « lite », gadgets agaçants, qui n'ont rien à voir avec Windows et l'ordinateur et sont pré-installés dans un ordinateur neuf.

On utilise aussi les termes ou expressions :

• Pre-installed software

• Product bundling

• Software bloat

• Unwanted software bundling

Les bloatwares sont des logiciels totalement inutiles, installés d'origine par les constructeurs d'ordinateurs (applications et utilitaires préinstallés).

Un Bloatware est un logiciel « gonflant », au sens propre et au sens figuré du terme.

Le mot anglais Bloatware devrait être remplacé, en français, selon l'Office québécois de la langue française, par inflagiciel ou obésiciel ou usine à gaz. Assez proche, dans la terminologie officielle française, on trouve :

Voir, également, le dossier de centaines de Bloatwares.

Les constructeurs d'ordinateurs, qu'ils soient fabricants de marque ou assembleurs (OEM - Original Equipment Manufacturer) se réfèrent au processus de démarrage initial (la découverte faite par l'utilisateur lors de la première mise en marche d'un nouvel ordinateur) sous le nom d'« Expérience faite au sortir de la boîte » (OOBE - Out-Of-Box Experience).

Bien que le détail du processus varie selon chaque marque, le principe de cette « expérience » est toujours le même :

• Attendre que le/les logiciel(s) préchargé(s) démarrent).

• Vous forcer à cliquer sur l'enregistrement du produit et les instructions d'essai de 30 jours.

Le panorama des logiciels fourgués par les constructeurs est compliqué et comprend des quantités invraisemblables de trucs et bidules superflus ou suspects :

• Outils de télémétrie, de statistiques et de surveillance pour l'information des fournisseurs/constructeurs

• Essais logiciels en versions gratuites que l'on vous pousse/convainc d'acheter (au profit du constructeur qui touche des commissions sur les ventes, d'où cette prolifération et surtout ses choix les plus rémunérateurs, peu importe leur inutilité et leur niveau de nullité)

• Crapwares (logiciels purement et simplement crapuleux)

• Applications ne faisant rien d'autre que d'ajouter un raccourci pour lancer votre navigateur Web sur un site spécifique (et rémunérateur pour le constructeur). Il s'agit d'attaques appelées Hijack.

L'expérience OOBE est ennuyante (et le mot est faible et poli) pour plusieurs raisons :

• Perte d'espace disque

• Consommation de mémoire RAM

• Dégradation de la vitesse de démarrage

• Dégradation de la vitesse d'exécution

• Dégradation de l'expérience de l'utilisateur, noyé dès le premier contact avec son ordinateur, sous un flot de publicités insistantes, de mensonges, de manipulations de type ingénierie sociale, voire de pures crapuleries, etc.

Plus grave : tous ces bloatwares, et toutes ces fonctions, que le fabricant ajoute au système d'exploitation, proviennent de développeurs tiers. Le constructeur n'a aucune compétence pour juger et évaluer leurs contenus, leurs codes, leurs comportements, leur exécution, et, surtout, leurs souvent graves conséquences sur la sécurité. Par exemple :

• Superfish
  Superfish, adware préinstallé sur les ordinateurs Lenovo. Permet des attaques sophistiquées de type Homme du milieu (Man in the Middle). Superfish a la capacité de produire un certificat d'autorisation (Certificat électronique d'authentification - Certificat numérique) qui permet éventuellement à une tierce personne malveillante d'intercepter les connexions SSL / TLS, ou pour le dire simplement, les sessions de navigateur Web utilisant des liens « HTTPS ». Superfish possède sa propre autorité de certification (est sa propre autorité de certification autoproclammée) pour son logiciel (son adware). Ceci permet de pirater la session Web de l'utilisateur, produire un certificat et établir la connexion SSL afin de l'utiliser. Malheureusement, les navigateurs Web considèrent le certificat Superfish généré comme étant légitime.

• eDellRoot
  Dans le même esprit que Superfish, Dell a livré ses ordinateurs avec un gestionnaire de Certificat électronique d'authentification - Certificat numérique nommé eDellRoot, qui a massacré le magasin de certificats racine Windows pour les utilisateurs de Dell et Alienware, permettant des attaques sophistiquées de type Homme du milieu (Man in the Middle).
  Jouer à l'autorité de certification autoproclammée n'est pas un jeu dangereux, c'est une cybercriminalité.
  23.11.2015 - Arstechnica : Dell does superfish ships PCs with self-signed root certificates
  24.11.2015 - Le Monde Informatique : eDellRoot : Dell admet et corrige une faille de sécurité dans ses PC
  Correctif par Dell : Correctif eDellRoot Certificat
  

• Etc.

Chaque fois que quelque chose comme cela se produit et que nous nous interrogeons et interrogeons le constructeur, nous somme inondés de messages rassurants et déclarations que le constructeur s'intéresse profondément à notre sécurité et à notre vie privée. C'est d'ailleurs bien là l'un des problèmes : il s'intéresse profondément à notre sécurité et à notre vie privée, mais pas du tout dans le sens de protéger tout cela, mais de se l'approprier ! L'argent que cela lui rapporte justifie toutes les prévarications.

Une analyse approfondie de la plupart des logiciels OEM préchargés révèle qu'en matière de sécurité, cela est très limité. l'analyse conduite par Duo Labs (document PDF en anglais de 36 pages publié le 01.06.2016) démontre que ces logiciels, outre tout ce qui a été dit ci-dessus, constituent de sérieux risques sécuritaires.
01.06.2016 - DUO Lbs : Out-of-Box Exploitation - A Security Analysis of OEM Updaters (PDF, anglais, 36 pages)

Il s'agit d'offres ou de versions de démonstration (parfois appelées trialwares) d'un nombre incroyable de " trucs " (antivirus, anti-malwares, pare-feu, contrôle parental, jeux, bureautique, lecteurs de média, des versions d'essais du tout un tas de logiciels, des optimiseurs et nettoyeurs se faisant la guerre, des offres spéciales de tout et n'importe quoi, et même des spywares, des barres d'outils, etc. ...).

Les constructeurs sont payés par les fournisseurs de logiciels pour installer tous ces trucs. C'est un peu comme si vous achetiez une voiture neuve et qu'à la livraison elle soit couverte de stickers. Votre vendeur serait payé pour les coller par des fabricants d'essences, d'huiles, de pneus, de caravanes, d'autoradios, de jantes, par des carossiers, des ateliers de mécanique, des boutiques de tuning, de sociétés de crédits, des compagnies d'assurances, etc. ...

Les constructeurs tentent également, par ce biais, de vous faire acheter des stupidités et des inutilités afin de toucher des commissions au passage (principe de l'indicateur d'affaires ou de l'apporteur d'affaires). Si vous avez acheté votre ordinateur dans une grande chaîne de distribution, ils ont probablement, eux aussi, installé un démarrage direct vers leur site d'achats en ligne...

Il s'agit d'applications constructeur chargées, en apparence, de vous simplifier la vie, comme vous donner accès aux informations et actualités, à la météo, aux réseaux sociaux, et tout une ribambelle de gadgets pour lesquels vous n'avez aucun intérêt et pour lesquels, s'ils vous intéressent, vous devez accéder par des procédures que vous crééz vous-mêmes (raccourcis, préférences, marque-pages, etc. ...). Par ces outils centralisateurs, les constructeurs d'ordinateurs épient vos moindres faits et gestes, eux aussi, afin de s'assurer une part juteuse de l'énorme pactole qu'est la monétisation des profils de tous et chaque individus de la planète (type anciennes fiches des Renseignements Généraux). Ils s'assurent ainsi les moyens de pratiquer le tracking, le profiling, le ciblage comportemental, le marketing comportemental, et d'utiliser ou de vendre ces informations.

6 applications pour virer les bloatwares :

• Malwarebytes (la version gratuite suffit).

• PC Decrapifier (gratuit)

• Decrap my computer (gratuit - par Macecraft Software, l'auteur des jv16 PowerTools) - assez similaire à PC Decrapifier

• Should I Remove It (Base de données informative de plus de 79 millions de logiciels, par Reason Software Company Inc. C'est juste de l'information, à vous de choisir et décider. Détection avec leur logiciel antimalware Reason Core Security (gratuit) et éradication avec la version commerciale de ce logiciel)

• SlimComputer

• AppRemover

Base de données des principaux bloatwares et méthodes de désinstallation

Les bloatwares ont commencé par infiltrer et gonfler les PC sous Windows et une moquerie a été développée ainsi que des comparatifs.