Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

cr  01.04.2012      r+  01.06.2024      r-  15.07.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Logo de CENT.com
Logo de CNET.com


cnet.com (formellement c|net - prononcer, en français, C'est Net) est un gigantesque site de téléchargement et d'informations, en anglais. Une version française du site existe, cnet.fr, mais est beaucoup plus petite, beaucoup moins vivante et, d'un dernier sondage du 15.07.2013, n'utilise pas de Téléchargeur (Downloader).

Sur cnet.com, tous les téléchargements tentés sur ce site sont dirigés vers leur site de téléchargement : Download.com.

Exemple avec le téléchargement d'un logiciel (le navigateur Opera) depuis le CNet (C|Net.com) :

Le CNet (C|Net.com) utise un téléchargeur (Downloader) - 14.07.2013
Le CNet (C|Net.com) utise un téléchargeur (Downloader) - 14.07.2013

Le CNet (C|Net.com) utise un téléchargeur (Downloader) - 14.07.2013
Le CNet (C|Net.com) utise un téléchargeur (Downloader) - 14.07.2013

Le téléchargement se termine sur une page d'incitation à télécharger un truc qui prétend maintenir à jour nos logiciels, autrement dit, introduire un espion dans la place. Si jamais vous avez installé ce " truc ", désinstallez-le en utilisant Revo Uninstalleur en mode 4 et utilisez Secunia PSI.

CNet Catchup en 2000 - 2003 (c|net Catchup)

Ce n'est pas la première fois que le CNET est pris la main dans le sac (enfin, l'œil dans nos ordinateurs). Déjà, en 2003, s'arrêtait brutalement un service du CNET connu sous le nom de CNET Catchup. Il se comportait en espion (spyware) à une époque connaissant une explosion des antispywares et une attention exacerbée des utilisateurs. Ce service, gratuit, installait une petite tâche de 211 KO sur le disque système. Cette tâche balayait tous les supports et remontait vers le CNet la liste des moindres logiciels installés avec leurs numéros de version, langue etc. ... et, spéculations, d'autres informations inconnues. Pourtant, Dieu que c'était pratique, car il s'agissait de maintenir à jour, d'un clic, tous les logiciels du monde installés dans une machine. Cela permettait d'avoir l'équivalent d'un Windows Update pour tous les logiciels non Microsoft.

Divers arguments furent avancés pour arrêter ce service avant que la rumeur ne fasse tache d'huile : L'explosion des logiciels, outils, drivers de modems, d'imprimantes… qui rendait la maintenance de la base de données difficile, le rachat par c|net de zdnet le 20 juillet 2000, et l'introduction de toute la logithèque zdnet dans celle de c|net, ce qui ne permettait plus de maintenir une bande passante raisonnable. Le c|net ne proposait plus les logiciels en téléchargement depuis leurs propres serveurs, mais depuis les serveurs des éditeurs (ce que réclament aujourd'hui, justement, les utilisateurs), mais, pour CNET Catchup, les éditeurs faisaient évoluer leurs logiciels plus vite que c|net ne pouvait ingérer les flots de mises à jour, etc.…

Utilisez Secunia PSI, gratuit, pour mettre à jour la totalité des logiciels installés dans votre ordinateur. Le modèle économique de Secunia repose sur un service professionnel, payant, auprès du monde de l'entreprise. Secunia n'a pas besoin d'espionner ses utilisateurs gratuits, les particuliers. Sécunia ne vend pas de logiciel, donc n'a pas besoin de savoir ce qu'il y a dans votre machine. Secunia ne délivre pas de publicité, donc n'a pas besoin de vous tracker ni d'établir vos profils, ce qui n'est pas le cas des autres services de même nature, proposés par des vendeurs de logiciels (affiliation) et dont les sites sont barbouillés de publicités.
Le CNet (C|Net.com) utise un téléchargeur (Downloader) - 14.07.2013
Le CNet (C|Net.com) utise un téléchargeur (Downloader) - 14.07.2013

Ensuite, il est question de cliquer sur ce bouton pour "terminer le téléchargement " ! Donc, en réalité, on télécharge un troisième truc et, là, on ne sait même pas de quoi il s'agit.

Le CNet (C|Net.com) utise un téléchargeur (Downloader) - 14.07.2013
Le CNet (C|Net.com) utise un téléchargeur (Downloader) - 14.07.2013

Et enfin, si on lance le téléchargement directement depuis la fonction de recherche du site, sans passer par la fiche du logiciel recherché, l'option "Lien direct" n'existe pas. Il n'y a que le passage forcé par le Téléchargeur (Downloader)

Le CNet (C|Net.com) utise un téléchargeur (Downloader) - 14.07.2013
Le CNet (C|Net.com) utise un téléchargeur (Downloader) - 14.07.2013

Le CNet (C|Net.com) utise un téléchargeur (Downloader) - 14.07.2013
Le CNet (C|Net.com) utise un téléchargeur (Downloader) - 14.07.2013

Un résumé par la société de sécurité (antivirus…) Kaspersky :

Les attaques XSS consistent à insérer un code malveillant dans des sites Web par ailleurs fiables. Une attaque XSS se produit lorsque des cybercriminels injectent un script malveillant dans le contenu du site Web ciblé, qui est ensuite inclus dans le contenu dynamique reçu par le navigateur Web de la victime. Il est impossible pour le navigateur Web de différencier les balises valides de celles du hacker et il se contente donc de les exécuter.

Par conséquent, ces scripts malveillants peuvent accéder aux cookies, aux jetons de session ou à d’autres informations sensibles conservées par le navigateur Web et utilisées sur ce site.


Certains caractères de nos alphabets ont, à certains moments, lorsque les navigateurs Web les rencontrent, non pas une signification toute simple de caractère d'un alphabet, mais une fonction (telles que celles que l'on rencontre, par exemple, dans des URL). Les navigateurs Web ne peuvent pas toujours distinguer entre « caractère tout bête » ou « fonction ».

Il existe quelques techniques d'écriture des pages Web (le langage HTML) qui permettent d'empêcher certaines actions qui constitueraient des failles de sécurité. Exemple : utiliser la fonction PHP (Hypertext Preprocessor)
htmlspecialchars()
Elle permet de remplacer à la volée des caractères qui peuvent être actifs en caractères passifs.

  • Le caractère & devient &
  • Le caractère " devient "
  • Le caractère ' devient '
  • Etc.

Pour les webmasters et les développeurs, voir :




Des philanthropes âpres aux gains

Les sites de téléchargement ne sont pas des philanthropes. Ce sont des sites cherchant à gagner de l'argent facilement, sur votre dos et sur le dos des développeurs (de logiciels, de musiques, de vidéos, etc.). Ce sont des sites de monétisation.

  • Vous croyez que le téléchargement est gratuit, mais non ! Vous êtes leur produit !

  • Vous croyez que leur service est gratuit, mais non ! Vous êtes leur service !

Le gratuit, ça n'a pas de prix, mais ça a un coût :

     Si le produit est gratuit, c'est que vous êtes le produit.
     Si le service est gratuit, c'est que vous êtes le service.


D'autre part, ils offrent rarement, voire jamais, une procédure de téléchargement direct. Il est donc largement préférable de télécharger depuis l'éditeur originel de l'objet à télécharger que de passer par un site de téléchargement qui n'est qu'un intermédiaire (payé par les éditeurs commerciaux) et qui, souvent :

  • Demande une identification (et donc une capturent de données personnelles).
  • Demande une inscription à leur site (et donc une capturent de données personnelles).
  • Implante dans nos appareils un logiciel dit « téléchargeur » sous divers prétextes dont :
    • Vérifier le bon téléchargement (ce qui est totalement inutile puisque le protocole HTTPS, obligatoire universellement, s'en charge).
    • Accélérer le téléchargement.
  • Téléchargeur qui embarque on ne sait quoi d'autre, agissent en cheval de Troie.

Sous la pression de la migration des internautes vers les éditeurs eux-mêmes (ou les un ou deux sites de téléchargement transparents [honnêtes] ayant toujours proposé du direct), propose désormais un lien de téléchargement direct dont l'expression tarabiscotée de la fonction et l'emplacement sur leurs pages Web les rendent totalement invisibles ou incompréhensibles.




Il n’est pas dit que CNet utilise (exploite) cette technique d’attaque (cette exploitation d’une faille de sécurité) appelée XSS – « Cross-Site Scripting », mais autant savoir qu’elle existe et comment s’en prémunir d’une manière générale. Il s'agit d'une attaque menée par d'innombrables sites Web du monde, dont tous ceux qui sont border-line (téléchargements de hack, crack, P2P, piratages, copyrights cassés, en dessous de la ceinture, etc.). C'est une attaque menée contre les navigateurs Web, dont celui que vous utilisez. Mais une astuce existe :

Lire notre article : Qu'est-ce que l'attaque XSS ?

Un résumé par la société de sécurité (antivirus…) Kaspersky :

Les attaques XSS consistent à insérer un code malveillant dans des sites Web par ailleurs fiables. Une attaque XSS se produit lorsque des cybercriminels injectent un script malveillant dans le contenu du site Web ciblé, qui est ensuite inclus dans le contenu dynamique reçu par le navigateur Web de la victime. Il est impossible pour le navigateur Web de différencier les balises valides de celles du hacker et il se contente donc de les exécuter.

Par conséquent, ces scripts malveillants peuvent accéder aux cookies, aux jetons de session ou à d’autres informations sensibles conservées par le navigateur Web et utilisées sur ce site.


Certains caractères de nos alphabets ont, à certains moments, lorsque les navigateurs Web les rencontrent, non pas une signification toute simple de caractère d'un alphabet, mais une fonction (telles que celles que l'on rencontre, par exemple, dans des URL). Les navigateurs Web ne peuvent pas toujours distinguer entre « caractère tout bête » ou « fonction ».

Il existe quelques techniques d'écriture des pages Web (le langage HTML) qui permettent d'empêcher certaines actions qui constitueraient des failles de sécurité. Exemple : utiliser la fonction PHP (Hypertext Preprocessor)
htmlspecialchars()
Elle permet de remplacer à la volée des caractères qui peuvent être actifs en caractères passifs.

  • Le caractère & devient &
  • Le caractère " devient "
  • Le caractère ' devient '
  • Etc.

Pour les webmasters et les développeurs, voir :




  1. Lorsqu'il s'agit de télécharger un logiciel, toujours rechercher ce téléchargement sur/depuis le site officiel de l'auteur/éditeur de ce logiciel et nulle part ailleurs.

  2. Lorsque vous croyez avoir téléchargé un code exécutable (application, programme, utilitaire, script...), même après l'avoir fait analyser par un ou plusieurs antivirus monomoteurs gratuits en ligne ou un antivirus multimoteur gratuit en ligne, regardez (dans l'explorateur de Windows propriétés du fichier téléchargé) la taille de ce fichier avant d'en lancer l'exécution. Un antivirus, par exemple, pèse au minimum 40 à 100 MO (méga-octets). Si votre téléchargement ne pèse qu'environ 1 à 2 MO, ce que vous avez téléchargé n'est qu'un téléchargeur (downloader), en aucun cas ce qui est recherché.

  3. Téléchargements depuis Assiste.com. Ne passez jamais par un intermédiaire. Tous les téléchargements, sur Assiste.com, pointent vers les sites des éditeurs originaux ou les miroirs officiels indiqués par les éditeurs. Lorsque les téléchargements de logiciels qui retiennent notre attention ne sont officiellement disponibles que sur des sites aux pratiques suspectes, ou ne sont pas/plus disponibles, nous assurons nous-mêmes un miroir propre (téléchargement depuis Assiste.com).