Thiefware désigne les parasites dont l'activité conduit au détournement du trafic d'un site au profit d'un autre, principalement, le détournement du trafic procurant un revenu.

cr  01.04.2012      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Thiefware est un terme de l'industrie informatique.

Thiefware : ce néologisme est un mot-valise (et contraction) construit par la fusion du mot anglais « thief » (« voleur » ou « cambrioleur » ou « larron » ou « pirate ») et du suffixe « ware » désignant un bien, une marchandise dont on fait un type. Dans l'industrie des logiciels, le rapprochement se fait avec « software » (« soft + ware »), désignant un objet « logiciel ».

« Thiefware » se traduit par « Logiciel parasite » (Littéralement : « Saloperie de logiciel parasitant mes revenus »). C'est la même classe que le terme français moins imagé de « Publicité intrusive ».

Le terme de « Parasitware » recouvre les parasites, quelles que soient leurs classes, dont l'activité conduit finalement au détournement de tout ou partie du trafic d'un site au profit d'un autre site et, principalement, le détournement du trafic procurant un revenu (Détournement des revenus publicitaires).

Les termes d'Adwares intrusifs ou Publicités intrusives ou Scumwares ou Thiefwares ou Parasitewares ou Stealwares ou Foistwares ou Piratewares sont plus ou moins interchangeables et plus ou moins synonymes. Ils recouvrent les mêmes parasites, incrustés dans les machines compromises des internautes, et entrant, par violation, en concurrence déloyale avec les mécanismes légitimes mis en place par les propriétaires des sites, dans le but de détourner les revenus (publicitaires ou autres) de ces sites.

Les sites Internet non directement commerciaux (les sites de contenu), qui représentent la quasi-totalité des sites sur le Web, vivent avec :

• Des revenus publicitaires
  
• Des commissions (un % sur les ventes) en tant qu'apporteurs d'affaires à d'autres sites (indicateurs d'affaires - affiliations)
  

Pour les crapules du Web, une méthode est apparue beaucoup plus simple pour gagner de l'argent : détourner les revenus de ces sites à leur profit !

Ces pratiques maffieuses sont connues sous divers noms plus ou moins interchangeables et sont essentiellement des attaques des formes publicitaires ou des affiliations "légitimes" d'un site pour faire en sorte que le bénéficiaire soit la crapule et non le propriétaire légitime du site.

• Scumware
  
• Thiefware
  
• Pirateware
  
• Stealware
  
• Foistwares
• Parasiteware
  
• ...
  

• Le terme de "Drive-by download" est parfois employé, complètement à tord. Voir ce terme.
• Le détournement du trafic Web en induisant en erreur les résultats naturels des moteurs de recherche, par exemple par Cybersquatting ou Spamdexing, fait partie de cette catégorie de parasitage bien qu'il ne se traduise pas par l'implantation d'un parasite dans un poste de travail. Par exemple, le site protegezvotrepc.com utilise le nom de notre domaine "assiste.com" pour détourner et capter du trafic. Voir nos deux pages sur ce site crapuleux :
  
  • Protegezvotrepc.com - Détournement de trafic Internet - analyse d'un piège à internautes
    
  • Protegezvotrepc.com - Site crapuleux
• L'implantation de mécanismes similaires côté serveur ne concerne pas l'internaute mais les webmaster et / ou les hébergeurs. Notons qu'un serveur compromis va parasiter la totalité des sites Web hébergés sur le même serveur en cas de serveur mutualisé.

On est en pleine concurrence déloyale, ce qui est, juridiquement, condamné. Voir :

Les méthodes de pénétration habituelles des ordinateurs (postes de travail) sont utilisées.

1. Installateurs muets
   La procédure d'installation d'un programme installe d'une manière transparente une application additionnelle (ou plusieurs) : des "adwares" ou des applications quelconques, à l'insu de l'utilisateur de l'ordinateur, comme cela est le cas dans des paquetages (bundles) de logiciels (lire : Sponsoring).
   
   
2. Installateurs trompeurs
   La procédure d'installation d'un programme signale l'installation d'un produit additionnel mais ne l'identifie pas clairement ou donne sur son utilité des arguments biaisés de manière à tromper l'utilisateur ou, en tout cas, à éviter qu'il ait une connaissance éclairée de ce qui s'installe (lire : installateurs piégés).
   
   
3. Sites piégés (trapped)
   Le parasite est installé à l'insu de l'utilisateur à partir de sites piégés (les serveurs sont compromis) visités, grâce à une technique appelée « drive-by download » (téléchargements automatiques par l'intermédiaire de moyens cachés) usuellement par l'intermédiaire de contrôles ActiveX en naviguant sur le Web avec Internet Explorer ou à des boîtes de dialogue trompeuses (publicités mensongères, etc. ...). Voir notre liste noire de sites piégés dont le furieux groupe CoolWebSearch.
   
   
4. Failles de sécurité, zombies et botnets
   Le parasite est installé à partir de l'exploitation d'une faille de sécurité dans votre ordinateur et votre ordinateur devient un zombie dans un botnet. Il passe sous le contrôle d'un cybercriminel, à votre insu. Le cybercriminel gère son botnet, qui peut compter des millions d'ordinateurs zombies, depuis des machines compromises réparties dans le monde et appelées C&C (Command and Control).
   
   
5. Navigation faussée
   Votre navigation, en particulier vos recherches sur le Web, sont trompées par l'usurpation / la modification (hijacking) de vos outils de recherches ou de votre navigateur, en particulier avec l'implantation de BHOs et de barres d'outils dans les navigateurs (Firefox, Internet Explorer, Opera, Google Chrome, Safari, K-Meleon, etc. ...).
   
   
6. Recherches faussées
   Vos recherches sont trompées par le viol des moteurs de recherches (spamdexing, cybersquatting, spam des forums de discussion, spam des blogs, spam des groupes de discussion, etc. ...)
   
   
7. Résistance à l'éradication
   Lorsque vous décidez de désinstaller (par une procédure de désinstallation " normale ") ou d'éradiquer (par un outil de décontamination) ou d'ôter manuellement le parasite, il se réinstalle silencieusement. Ceci est conduit par un autre composant caché ailleurs dans votre ordinateur, probablement grace à l'usage de RootKits ou de hooker, AppInit_dll, moniteurs de surveillance, etc. ...
   
   

• Insérer des liens contextuels (Smart Links, Smart Tags, dans le genre IntelliTXT) dans les contenus vus (les pages que vous visitez) afin de pratiquer, sous forme agressive, de la publicité intrusive à l'insu des propriétaires des sites visités et en contradiction / remplacement de leurs choix. Il s'agit d'exploiter les sites Web des autres pour en faire des véhicules à publicités rémunératrices, à l'insu de leurs auteurs.
  
  
• Insérer des bannières publicitaires et des pop-ups ou recouvrir celles existantes, toujours à l'insu des auteurs des sites, afin de promouvoir un produit ou service à la place d'un concurrent, en contradiction / remplacement des annonceurs et des régies publicitaires avec lesquels le webmaster à passé des contrats, pour les mêmes raison que ci-dessus. Un programme, installé en cachette sur nos ordinateurs (comme les spywares et autres logiciels espions), fait apparaître des fenêtres publicitaires et offres promotionnelles dès qu'il détecte un mot-clé donné (parmi une liste qui est maintenue à jour, à distance, en permanence car la crapule s'est ménagé un accès à votre ordinateur). Le programme parasite remplace à la volée les publicités "normales" des sites visités par ses propres bannières, sans autorisation du Webmaster, sans qu'il en ai connaissance et sans le rémunérer, bien sûr. Le programme est, simultanément, un spyware qui envoie des informations comportementales sur un serveur central et utilise ces informations pour cibler la publicité. Gator ou Aadcom sont des exemples parmi d'autres de ces pratiques criminelles (voir, par exemple, l'article 462-2 de la Loi dite "Godfrain").
  
  
• Détourner les rémunérations en ré-écrivant, à la volée, les liens d'affiliation afin de modifier les identifications des bénéficiaires dans ces liens (ou modifier les paramètres stockés dans un cookie). Une vingtaine de sociétés ont été identifiées comme développant des logiciels de détournement de commissions, installés sur plusieurs dizaines de millions de nos ordinateurs (plus de 130 millions d'ordinateurs rien que pour KaZaA) en même temps que les Morpheus, LimeWire, Kazaa, TopMoxie, BearShare et bien d'autres et des dizaines de sociétés ont été identifiées comme bénéficiant de ces détournements. Lorsqu'un Webmaster décide d'affilier son site (et lui-même) à un site marchand, par exemple, Amazon.com et de faire la promotion de certains articles, il va diriger ses visiteurs souhaitant passer à l'acte d'achat vers Amazon.com et, si le visiteur achète quelque chose, le Webmaster recevra une petite commission. Amazon.com a plus de 800.000 sites Internet (et donc 800.000 webmasters) qui lui sont affiliés ce qui représente des dizaines de millions de visiteurs chaque jour. Pour savoir à qui bénéficie la commission, le lien sur lequel clique un internaute renseigne Amazon.com car il contient des informations comme "quel article (cd, K7, jeux etc...)" et "qui est l'affilié qui m'envoi ce client". Et bien ces logiciels de détournement de commissions, installés sur nos ordinateurs, modifient à la volée l'information "qui est l'affilié" par la référence d'un usurpateur et c'est lui qui touchera les commissions !!! Voir, en anglais Find out who's stealing your affiliate earnings?
  
  

Des maffieux ! Des cybercriminels !

• Vous pouvez quelquefois les soupconner lors de l'installation d'une application (Installer une application - Attention aux trucs offerts avec (liés, bundle)). Au moment de l'installation, il vous est demandé, par exemple, si vous voulez "bénéficier" (meffiez-vous de ce mot sur le Web !) de remises ou rabais en effectuant vos achats au travers de sites "géniaux" (qui, bien sûr, leurs sont affiliés). Cela autorise alors leurs Thiefware (Ezula Top Text, Smart Tags, Smart Links, SaveNow, Gator, EasyLink (n'existe plus), FlySwat (n'existe plus), à écraser les liens d'affiliations légitimes des sites visités par ceux "bénéficiant" aux cybercriminels !
• Vous ne pouvez pas les voir venir lors de l'exploitation de failles de sécurité.

Les malheureux Webmasters qui passent des temps fous à écrire leurs sites, les tester, les rendre attrayant et à faire la promotion de quelques articles pour gagner 3 sous, sont floués. Les très gros sites commerciaux le sont également. Malheureusement il semble que la législation soit muette sur le sujet. Le débat est ouvert mais, au mieux, les Webmasters ne peuvent que crier au manque d'éthique (voir article 462-2 de la Loi dite "Godfrain").