Méfiez-vous des sources de téléchargement de vos logiciels libres
Depuis quelques semaines, une entreprise française, Data Access, se livre à un petit business particulièrement peu scrupuleux : elle achète de nombreux noms de domaines évoquant des logiciels libres populaires (par exemple, keepass.fr) et les fait pointer vers un site proposant le téléchargement du logiciel en question. Mais au lieu de pointer vers un build officiel du logiciel, les liens de téléchargement pointent vers des versions agrémentées de malwares ou d'adwares.
Par exemple, une des versions de Libre Office proposées par cette société intègre une procédure de paiement par SMS pour valider l'installation.
À ce jour, ce sont plus de 100 domaines qui sont hébergés sur le serveur loué par la société, qui cible des utilisateurs français, mais aussi italiens, espagnols, polonais, allemands... Parmi les logiciels victimes de ce phishing, on retrouve CyberDuck, PdfCreator, 7zip, AdBlock (proposer un bloqueur de pub infesté d'adwares, il fallait l'oser !), Gimp, Libre Office, Handbrake, Virtual Box, KeePass, TrueCrypt...Le fait de cibler des logiciels libres n'est bien entendu pas un hasard, puisque ces logiciels sont plus faciles à repackager, mais aussi et surtout, parce que les recours légaux pour bloquer cette "attaque" sont beaucoup plus limités : repackager un logiciel libre, même en y ajoutant des logiciels malveillants, n'enfreint pas nécessairement la licence et les noms des logiciels libres sont souvent des noms non enregistrés comme marque commerciale. À ce propos, Data Access tente également d'enregistrer la marque TrueCrypt en son nom aux USA (rappelons que le logiciel TrueCrypt a été abandonné par son auteur, dans des conditions assez douteuses, ce qui fait que Data Access ne risque pas beaucoup de représailles en essayant de lui voler son nom...).
The Document Foundation, qui est en charge de Libre Office, est actuellement en discussion avec des avocats pour étudier les possibilités de recours légaux. En attendant, certains sites de la société sont déjà référencés dans certaines listes noires, ce qui permet leur blocage par des logiciels de sécurité ou des services de DNS publics, par exemple chez OpenDNS :
Il ne s'agit hélas pas d'une réelle nouveauté, cette façon de faire est courante depuis de nombreuses années, et même si les sites de Data Access sont bloqués, il ne faudra sans doute pas longtemps avant que d'autres sites du même acabit soient lancés par la société ou par d'autres personnes peu scrupuleuses.
Cette affaire est donc l'occasion de rappeler quelques bonnes pratiques pour limiter les risques lors du téléchargement de logiciels libres. Dans la mesure du possible, il faut toujours télécharger ces logiciels soit à partir du site officiel du projet, soit à partir de son dépôt de code sur GitHub, GitLab, SourceForge ou autre plateformes du genre. En effet, même les boutiques officielles comme l'App Store peuvent parfois être les hôtes de builds non officielles, plus ou moins modifiées et payantes.
Pour trouver l'adresse officielle du logiciel, vous pouvez utiliser des services comme Offurl, AlternativeTo ou tout simplement Wikipedia quand le logiciel est suffisamment connu pour y avoir sa page. Les fiches des logiciels sur les grandes plateformes de téléchargement commerciales (01net et cie) peuvent également parfois vous renseigner sur l'adresse du site officiel.
Merci à kwak-kwak qui nous a remonté cette information !
[MàJ de Lionel] Intego nous informe que son antivirus Virus Barrier détecte ces produits malveillants.