Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

cr  01.04.2012      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Logo de Download.com.com
Logo de Download.com.com


Download.com.com est le nom de domaine que pris le domaine Download.com (lancé en 1996). un site malveillant d'informations, de téléchargement et de ventes de logiciels, en anglais. Il existe une version en français dont le contenu provient, lorsque le texte n'est pas fourni par l'éditeur du logiciel lui-même, d'une traduction automatique incompréhensible et horrible.

Download.com a été créé en 1996 comme un département CNet.com (créé en 1993). Le tout est racheté en 1998 par CBS Interactive Inc. connu, par exemple, pour sa haine d'Adblock Plus (lire, par exemple, ce fil de discussion sur le forum d'Adblock Plus) et qui tire les ficelles en fonction de ses intérêts, comme dans la controverse CBS-CNET Hopper en 2013, ce qui rend tous les écrits du CNet et de Download.com suspect de partialité.

Download.com classe son contenu téléchargeable en quatre grandes catégories : logiciels, musiques, vidéos et jeux, depuis leurs propres serveurs sur lesquels ils hébergent ce contenu (et, parfois, des serveurs tiers). Il n'y a jamais, ou très rarement, des téléchargements possibles avec des liens directs depuis les éditeurs eux-mêmes. La section " logiciels " comporte plus de 100.000 gratuitiels, partagiciels et versions d'essais. Les développeurs peuvent diffuser leurs logiciels grace à un outil d'upload, gratuit ou payant avec extensions.

Download.com est connu pour ses innombrables et incessantes trouvailles afin de monétiser son service de téléchargement dont la constance dans les malveillances et le nombre de méthodes utilisées font penser que les revenus financiers dégagés par ces méthodes de voyous sont substantielles :

Download.com n'offre aucune clause sur son site, aussi bien de type " Vie prive " que " Conditions générales " ou que " Licence d'utilisateur ". Seul un renvoi vers le site du propriétaire de Download.com, CBS Interactive Inc., affiche des dizaines de pages en anglais, sous le nom de " Politique d'intimité ", n'ayant strictement rien à voir avec Download.com.

L'utilisateur final n'a aucune chance de trouver par lui-même cette page en français (dans une traduction tellement horrible et incompréhensible que l'on préfère utiliser la page d'origine en anglais), dont on extrait la publicité mensongère suivante, versions française et anglaise :

Déclaration mensongère : Pas de virus, spywares et malveillances chez Download.com

Avec de telles déclarations, relevées le 09.08.2015, on se demande pourquoi on ne télécharge pas les yeux fermés depuis Download.com !

Document en anglais américain

Viruses, spyware, and malicious software

We do not list software that contains viruses, Trojan horses, malicious adware, spyware, or other potentially harmful components. We do not list products known to contain such items in instances outside Download.com, and we may disallow products from publishers that we feel violate the spirit of this policy.

We do not accept the following types of software:

  • Software that installs viruses, Trojan horses, malicious adware, spyware, or other malicious software at any point during or after installation.
    • Software that installs the above items via links to other software or Web sites.
    • Links on publishers' Web sites that may enable the installation of the above items.
  • Software that installs without notice and without the user's consent.
  • Software that includes or uses surreptitious data collection.
  • Software that collects and transmits information about end users or end users' computer usage without adequate prior notification.
  • Software that diverts or modifies end users' default browsers, search-engine home pages, providers, security, or privacy-protection settings without the users' permission.
  • Software that interferes with users' control and privacy.

EULA and installation prompts

All products in our library must present users with a clear and easy-to-read end-user license agreement (EULA) and must give users an opportunity to cancel the installation if they do not agree to the terms. EULAs are a contract with the user, and in keeping with that spirit, they must be truthful, accurate, comprehensive, and easy to read and understand.

We do not accept the following types of software:

  • Software that installs in a concealed manner or denies users an opportunity to read the license agreement and/or to knowingly consent to the installation.
  • Software that induces installation by making false or misleading claims about the software or the software publisher.
  • Software with license agreements that do not clearly or adequately disclose critical information about the software or additional items included with the installation.

Software bundling

Any additional programs or third-party items included with the downloadable file must be clearly disclosed in the Download.com product description and during the installation process. Users must be given a way to opt out of all additional items during installation, or they must be given an opportunity to cancel the installation completely.

We do not accept software that exhibits any of the following:

  • Additional programs or third-party items that are not clearly disclosed in the Download.com product description, end-user license agreement, or installation screens.
  • The inability for users to opt out of or cancel the installation of additional items included with the installation.
  • Icons or shortcuts placed on a user's desktop without adequate prior disclosure or permission.

Advertising-supported software

We allow certain types of advertising-supported software, including a small number of adware components that we evaluate on a case-by-case basis.

Removal and uninstallation

We respect the user's right to control software that is installed on their computers, and we require that all software in our library provide users with a clear and simple method for removal. We may disallow products that we feel are unnecessarily difficult to uninstall, are obscured, or are resistant to removal.

We do not accept the following types of software:

  • Software that prevents its own uninstallation or disablement.
  • Software that requires users to give up personal information to uninstall.
  • Software that cannot be properly or safely removed due to errors or other programming issues.


Document en français

Virus, spyware, et logiciel malveillant

Nous n'énumérons pas le logiciel qui contient des virus, des chevaux de Trojan, l'adware malveillant, le spyware, ou d'autres composants potentiellement nocifs. Nous n'énumérons pas des produits connus pour contenir de tels articles dans les exemples en dehors de Download.com, et nous pouvons rejetons des produits des éditeurs que nous sentons violer l'esprit de cette politique.

Nous n'acceptons pas les types suivants de logiciel:

  • Logiciel pendant lequel installe des virus, des chevaux de Trojan, l'adware malveillant, le spyware, ou tout autre logiciel malveillant à un point quelconque ou après installation.
    • Logiciel qui installe les articles ci-dessus par l'intermédiaire des liens sur d'autres logiciel ou sites Web.
    • Links sur les sites Web des éditeurs qui peuvent permettre l'installation des articles ci-dessus.
  • Logiciel qui installe sans communication préalable et sans consentement de l'utilisateur.
  • Logiciel qui inclut ou emploie la collecte de données subreptice.
  • Logiciel qui rassemble et transmet des informations sur utilisation d'utilisateurs ou d'ordinateur d'utilisateurs la ' sans à avis préalable proportionné.
  • Logiciel qui navigateurs de défaut détourne ou modifie utilisateurs des ', des pages d'accueil de Search Engine, des fournisseurs, sécurité, ou des arrangements d'intimité-protection sans permission des utilisateurs.
  • Logiciel qui interfère la commande et l'intimité des utilisateurs.

EULA et messages de sollicitation d'installation

Tous les produits dans notre bibliothèque doivent présenter des utilisateurs avec un espace libre et facile-à-lisent l'accord de licence d'utilisateur (EULA) et doivent donner à des utilisateurs une occasion de décommander l'installation s'ils ne sont pas d'accord sur les limites. EULAs sont un contrat avec l'utilisateur, et en accord avec cet esprit, ils doivent être véridiques, précis, complets, et faciles à lire et comprendre.

Nous n'acceptons pas les types suivants de logiciel:

  • Logiciel qui installe d'une façon cachée ou refuse à des utilisateurs une occasion de lire l'accord de licence et/ou de consentir sciemment à l'installation.
  • Le logiciel qui induit l'installation en rendant faux ou tromper réclame au sujet du logiciel ou de l'éditeur de logiciel.
  • Le logiciel avec les accords de licence qui ne révèlent pas clairement ou en juste proportion des informations critiques sur le logiciel ou les articles additionnels a inclus avec l'installation.

Empaquetement de logiciel

Tous les programmes additionnels ou tiers articles inclus avec le dossier downloadable doivent être clairement révélés dans la description de produit de Download.com et pendant le procédé d'installation. Des utilisateurs doivent être donnés une manière de quitter tous les articles additionnels pendant l'installation, ou ils doivent être donnés une occasion de décommander l'installation complètement.

Nous n'acceptons pas le logiciel qui montre suivre l'un des:

  • Programmes additionnels ou tiers articles qui ne sont pas clairement révélés dans la description de produit de Download.com, l'accord de licence d'utilisateur, ou les écrans d'installation.
  • L'incapacité pour que les utilisateurs choisissent hors de ou de décommandent l'installation des articles additionnels inclus avec l'installation.
  • Icons ou raccourcis placés sur le DeskTop d'un utilisateur sans à révélation ou à permission antérieure proportionnée.

logiciel Annoncer-soutenu

Nous permettons certains types de logiciel annoncer-soutenu, y compris un nombre restreint de composants d'adware que nous évaluons sur une base de cas-par-cas.

Déplacement et uninstallation

Nous respectons le juste de l'utilisateur au logiciel de gestion qui est installé sur leurs ordinateurs, et nous avons besoin de que tout le logiciel dans notre bibliothèque fournissent à des utilisateurs une méthode claire et simple pour le déplacement. Nous pouvons rejetons les produits qui nous nous sentons sommes inutilement difficiles à l'uninstall, sommes obscurcis, ou sommes résistants au déplacement.

Nous n'acceptons pas les types suivants de logiciel:

  • Logiciel qui empêche son propre uninstallation ou incapacité.
  • Logiciel qui exige des utilisateurs d'abandonner l'information personnelle à l'uninstall.
  • Logiciel qui ne peut pas être dû correctement ou sans risque enlevé aux erreurs ou à d'autres questions de programmation.

Un résumé par la société de sécurité (antivirus…) Kaspersky :

Les attaques XSS consistent à insérer un code malveillant dans des sites Web par ailleurs fiables. Une attaque XSS se produit lorsque des cybercriminels injectent un script malveillant dans le contenu du site Web ciblé, qui est ensuite inclus dans le contenu dynamique reçu par le navigateur Web de la victime. Il est impossible pour le navigateur Web de différencier les balises valides de celles du hacker et il se contente donc de les exécuter.

Par conséquent, ces scripts malveillants peuvent accéder aux cookies, aux jetons de session ou à d’autres informations sensibles conservées par le navigateur Web et utilisées sur ce site.


Certains caractères de nos alphabets ont, à certains moments, lorsque les navigateurs Web les rencontrent, non pas une signification toute simple de caractère d'un alphabet, mais une fonction (telles que celles que l'on rencontre, par exemple, dans des URL). Les navigateurs Web ne peuvent pas toujours distinguer entre « caractère tout bête » ou « fonction ».

Il existe quelques techniques d'écriture des pages Web (le langage HTML) qui permettent d'empêcher certaines actions qui constitueraient des failles de sécurité. Exemple : utiliser la fonction PHP (Hypertext Preprocessor)
htmlspecialchars()
Elle permet de remplacer à la volée des caractères qui peuvent être actifs en caractères passifs.

  • Le caractère & devient &
  • Le caractère " devient "
  • Le caractère ' devient '
  • Etc.

Pour les webmasters et les développeurs, voir :




Des philanthropes âpres aux gains

Les sites de téléchargement ne sont pas des philanthropes. Ce sont des sites cherchant à gagner de l'argent facilement, sur votre dos et sur le dos des développeurs (de logiciels, de musiques, de vidéos, etc.). Ce sont des sites de monétisation.

  • Vous croyez que le téléchargement est gratuit, mais non ! Vous êtes leur produit !

  • Vous croyez que leur service est gratuit, mais non ! Vous êtes leur service !

Le gratuit, ça n'a pas de prix, mais ça a un coût :

     Si le produit est gratuit, c'est que vous êtes le produit.
     Si le service est gratuit, c'est que vous êtes le service.


D'autre part, ils offrent rarement, voire jamais, une procédure de téléchargement direct. Il est donc largement préférable de télécharger depuis l'éditeur originel de l'objet à télécharger que de passer par un site de téléchargement qui n'est qu'un intermédiaire (payé par les éditeurs commerciaux) et qui, souvent :

  • Demande une identification (et donc une capturent de données personnelles).
  • Demande une inscription à leur site (et donc une capturent de données personnelles).
  • Implante dans nos appareils un logiciel dit « téléchargeur » sous divers prétextes dont :
    • Vérifier le bon téléchargement (ce qui est totalement inutile puisque le protocole HTTPS, obligatoire universellement, s'en charge).
    • Accélérer le téléchargement.
  • Téléchargeur qui embarque on ne sait quoi d'autre, agissent en cheval de Troie.

Sous la pression de la migration des internautes vers les éditeurs eux-mêmes (ou les un ou deux sites de téléchargement transparents [honnêtes] ayant toujours proposé du direct), propose désormais un lien de téléchargement direct dont l'expression tarabiscotée de la fonction et l'emplacement sur leurs pages Web les rendent totalement invisibles ou incompréhensibles.




Il n’est pas dit que Download.com.com utilise (exploite) cette technique d’attaque (cette exploitation d’une faille de sécurité) appelée XSS – « Cross-Site Scripting », mais autant savoir qu’elle existe et comment s’en prémunir d’une manière générale. Il s'agit d'une attaque menée par d'innombrables sites Web du monde, dont tous ceux qui sont border-line (téléchargements de hack, crack, P2P, piratages, copyrights cassés, en dessous de la ceinture, etc.). C'est une attaque menée contre les navigateurs Web, dont celui que vous utilisez. Mais une astuce existe :

Lire notre article : Qu'est-ce que l'attaque XSS ?

Un résumé par la société de sécurité (antivirus…) Kaspersky :

Les attaques XSS consistent à insérer un code malveillant dans des sites Web par ailleurs fiables. Une attaque XSS se produit lorsque des cybercriminels injectent un script malveillant dans le contenu du site Web ciblé, qui est ensuite inclus dans le contenu dynamique reçu par le navigateur Web de la victime. Il est impossible pour le navigateur Web de différencier les balises valides de celles du hacker et il se contente donc de les exécuter.

Par conséquent, ces scripts malveillants peuvent accéder aux cookies, aux jetons de session ou à d’autres informations sensibles conservées par le navigateur Web et utilisées sur ce site.


Certains caractères de nos alphabets ont, à certains moments, lorsque les navigateurs Web les rencontrent, non pas une signification toute simple de caractère d'un alphabet, mais une fonction (telles que celles que l'on rencontre, par exemple, dans des URL). Les navigateurs Web ne peuvent pas toujours distinguer entre « caractère tout bête » ou « fonction ».

Il existe quelques techniques d'écriture des pages Web (le langage HTML) qui permettent d'empêcher certaines actions qui constitueraient des failles de sécurité. Exemple : utiliser la fonction PHP (Hypertext Preprocessor)
htmlspecialchars()
Elle permet de remplacer à la volée des caractères qui peuvent être actifs en caractères passifs.

  • Le caractère & devient &
  • Le caractère " devient "
  • Le caractère ' devient '
  • Etc.

Pour les webmasters et les développeurs, voir :




  1. Lorsqu'il s'agit de télécharger un logiciel, toujours rechercher ce téléchargement sur/depuis le site officiel de l'auteur/éditeur de ce logiciel et nulle part ailleurs.

  2. Lorsque vous croyez avoir téléchargé un code exécutable (application, programme, utilitaire, script...), même après l'avoir fait analyser par un ou plusieurs antivirus monomoteurs gratuits en ligne ou un antivirus multimoteur gratuit en ligne, regardez (dans l'explorateur de Windows propriétés du fichier téléchargé) la taille de ce fichier avant d'en lancer l'exécution. Un antivirus, par exemple, pèse au minimum 40 à 100 MO (méga-octets). Si votre téléchargement ne pèse qu'environ 1 à 2 MO, ce que vous avez téléchargé n'est qu'un téléchargeur (downloader), en aucun cas ce qui est recherché.

  3. Téléchargements depuis Assiste.com. Ne passez jamais par un intermédiaire. Tous les téléchargements, sur Assiste.com, pointent vers les sites des éditeurs originaux ou les miroirs officiels indiqués par les éditeurs. Lorsque les téléchargements de logiciels qui retiennent notre attention ne sont officiellement disponibles que sur des sites aux pratiques suspectes, ou ne sont pas/plus disponibles, nous assurons nous-mêmes un miroir propre (téléchargement depuis Assiste.com).