Installeurs d'applications : propres ou piégés se comportant en cheval de Troie, espions, etc. Ils voient tous les internautes et tous les appareils du monde.

cr  29.09.2014      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Les installeurs sont l'une des plus importantes sources de malveillances implantées dans nos ordinateurs et autres appareils. Voir : Les installeurs - Attention aux trucs livrés avec.

Mis à part les versions dites « portables » des logiciels que vous allez télécharger (celles-là n'ont pas besoin d'installeur), tous les logiciels nécessitent, sous Microsoft Windows, une phase d'installation (inscriptions dans le Registre Windows, inscriptions dans WinSxS [le réservoir de composants de Windows], etc.). Cette installation est prise en charge par un installeur.

• Et les désinstalleurs ?

  C'est parce que le processus d'installation inscrit des informations un peu partout dans l'ordinateur que la désinstallation d'une application ne peut se faire en supprimant simplement les fichiers de cette application installée. L'installeur installe (généralement, mais pas systématiquement) au moins un processus de désinstallation qui devrait être un miroir du processus d'installation, ce qui n'est jamais le cas ! Les désinstallations laissent des traces un peu partout et des outils comme Revo Uninstaller doivent être utilisés pour désinstaller une application installée, plutôt que d'utiliser la procédure de désinstallation livrée, et encore, à condition qu'il y en ait une).

Les installeurs (parfois appelés « Instalateurs » (avec la faute) ou « Installateurs » ou « Installation » ou « Setup ») sont des applications à part entière, utilisées par les créateurs de logiciels pour « installer » leurs logiciels selon le système d'exploitation utilisé (Windows, Linux, Unix, etc.).

Les logiciels « installés » sont les applications des utilisateurs, mais aussi les « pilotes » (drivers), les plug-ins, etc.

Parmi les applications que vous allez télécharger et installer (ainsi que tous les autres types d'objets numériques téléchargeables), d'innombrables sont monétisées. Ceci ne signifie pas qu'elles soient payantes, mais qu'un mécanisme, ou plusieurs mécanismes sont mis en oeuvre pour faire gagner de l'argent à l'auteur de l'objet numérique « gratuit » (application, etc.). Ce sont les auteurs eux-mêmes ou les intermédiaires (les sites de téléchargement) qui mettent en oeuvre ces opérations de monétisation du gratuit, or :

Les installeurs sont nombreux, gratuits ou commerciaux pour les développeurs (toujours gratuits pour les utilisateurs), implantés par les développeurs des logiciels que vous téléchargez. Vous en connaissez peut-être quelques-uns que vous voyez chaque fois que vous installez un logiciel. Parmi les plus connus et utilisés, citons :

• Inno Setup (Jordan Russell et Martijn Laan) - Un outil Windows, gratuit.

• InstallAnywhere (Flexera Software) - Un outil multiplateforme coûtant 2000$.

• InstallAware (InstallAware Software) - Un outil Windows - à partir de 1000$.

• InstallBuilder (BitRock) - Un outil multiplateforme existant depuis une version gratuite jusqu'à des versions coûtant plus de 2000$.

• InstallCore (IronSource) - Un outil Windows, gratuit (InstallCore est un générateur de downloaders (programmes téléchargeurs) et d'installeurs (c'est un générateur de sponsoring et de Repacking)). InstallCore est systématiquement dangereux, dans 100% des cas. InstallCore est un principe natif de monétisation, aux profits partagés entre son développeur, IronSource, et l'auteur du logiciel installé. InstallCore embarque systématiquement du sponsoring, souvent multiple. C'est un véritable cheval de Troie au sens propre du terme. Tout ce qui est embarqué est à base de malveillances, d'adwares, de logiciels non désirés (PUP) et de Hijacking tentant de rendre irréversibles les modifications apportées. InstallCore est utilisé par, entre autres, le plus grand site de téléchargement français : 01net.com / telecharger.com, ou encore par le meilleur logiciel gratuit de FTP : FileZilla, pour se monétiser, etc.). InstallCore est même utilisé par de grands éditeurs de logiciels, comme Microsoft ou Symantec, pour nous proposer d'autres produits périphériques au produit que l'on télécharge ! On retrouve ces autres produits installés (des versions de démonstration qui vont harceler l'utilisateur pour qu'il achète la version complète) à l'insu de l'utilisateur ou sans qu'il ait compris la signification de cases à décocher utilisant des astuces sémantiques comme la double négation ou de cases à cocher pour refuser ou de bouton de refus dont le sens est orienté vers une incompréhension (refus d'installer le logiciel téléchargé et non pas refus d'installer les produits de sponsoring), etc. InstallCore est un cauchemar et son éditeur, IronSource, utilise des avocats pour empêcher les antivirus et antimalwares de le bloquer.

• Installer (Apple) - Inclus dans OS X.

• Installer Vise (MindVision Software) - Un outil multiplateforme coûtant 695$ par an.

• InstallJammer (InstallJammer team) - Gratuit - N'existe plus.

• InstallShield (Flexera Software) - Un outil Windows - 600$ par an.

• IzPack (Julian Ponge) - Un outil multiplateforme gratuit.

• Nullsoft Scriptable Install System (Nullsoft) - Un outil Windows, gratuit.

• Remote Installer (Apple) - Inclus dans OS X.

• Windows Installer (Microsoft) - Inclus dans Windows (types de fichiers installés : MSI).

• Etc.

Ces classes d'applications sont biaisées (rapportent silencieusement de l'argent à quelqu'un) :

• Les téléchargeurs (downloaders) (utilisation d'un downloader imposée par le site de l'éditeur (l'auteur) du logiciel ou le site de téléchargement au lieu d'un simple téléchargement direct).

• Les installeurs (utilisation d'un installeur pour installer une application informatique dans un appareil sous le contrôle de son système d'exploitation).

Il faut tout mettre en oeuvre pour rendre leurs utilisations incontournables afin d'implanter quelque chose d'autre dans vos appareils. Celui qui a biaisé le downloader et/ou l'installeur touche de l'argent chaque fois que les implantations des choses autres (malveillances) sont réussies. Si ce n'était pas des malveillances, on ne cacherait pas leurs installations.

• Lorsque c'est l'auteur de l'objet numérique que vous cherchez à télécharger et installer qui utilise un downloader biaisé (piégé) ou un installeur biaisé (piégé), cela s'appelle, ironiquement, du sponsoring.

• Lorsque c'est le site de téléchargement qui utilise un installeur biaisé (modifié - piégé), cela s'appelle du repack.

Des philanthropes âpres aux gains

Les sites de téléchargement ne sont pas des philanthropes. Ce sont des sites cherchant à gagner de l'argent facilement, sur votre dos et sur le dos des développeurs (de logiciels, de musiques, de vidéos, etc.). Ce sont des sites de monétisation.

• Vous croyez que le téléchargement est gratuit, mais non ! Vous êtes leur produit !

• Vous croyez que leur service est gratuit, mais non ! Vous êtes leur service !

D'autre part, ils offrent rarement, voire jamais, une procédure de téléchargement direct. Il est donc largement préférable de télécharger depuis l'éditeur originel de l'objet à télécharger que de passer par un site de téléchargement qui n'est qu'un intermédiaire (payé par les éditeurs commerciaux) et qui, souvent :

• Demande une identification (et donc une capturent de données personnelles).
  
• Demande une inscription à leur site (et donc une capturent de données personnelles).
  
• Implante dans nos appareils un logiciel dit « téléchargeur » sous divers prétextes dont :
  
  • Vérifier le bon téléchargement (ce qui est totalement inutile puisque le protocole HTTPS, obligatoire universellement, s'en charge).
    
  • Accélérer le téléchargement.
    
• Téléchargeur qui embarque on ne sait quoi d'autre, agissent en cheval de Troie.
  

Sous la pression de la migration des internautes vers les éditeurs eux-mêmes (ou les un ou deux sites de téléchargement transparents [honnêtes] ayant toujours proposé du direct), propose désormais un lien de téléchargement direct dont l'expression tarabiscotée de la fonction et l'emplacement sur leurs pages Web les rendent totalement invisibles ou incompréhensibles.