Lutte anti-spyware : la crédibilité de Truste remise en question

L’organisation américaine, qui a vocation à protéger la vie privée des
internautes, a été critiquée pour son indulgence vis-à-vis d’une société
partenaire de ComScore.

Aux Etats-UNis, Truste, une organisation de défense de la vie privée du consommateur, s’est attiré la colère d’experts spécialisés dans la recherche sur les logiciels espions. Ces derniers ont exprimé leur contestation à la suite de la réaction laxiste de Truste lors d’un incident de téléchargement de logiciels jugé abusif. Une attitude qui serait susceptible de remettre en question la crédibilité de l’organisation.

A l’origine, la controverse porte sur la manière dont Truste a traité une affaire liée à l’installation arbitraire d’un logiciels de tracking de ComScore, un spécialiste de la mesure d’audience sur Internet. Le logiciel, connu sous le nom de RelevantKnowledge, est utilisé pour collecter des informations sur l’usage du Net : sur quels sites se rendent les internautes et quels achats effectuent-t-ils en ligne ? Pour que le logiciel soit installé en local, il faut l’accord explicite de l’utilisateur.

Jusqu’à récemment, RelevantKnowledge figurait sur une version bêta du Trusted Download Program de TRUSTe, un programme obligeant les éditeurs à répondre à certains critères concernant la procédure d’installation ou de suppression de leurs logiciels mais aussi liés à la qualité de l’information délivrée à l’utilisateur à propos des conditions d’installation du logiciel sur son PC.

Le but de cette initiative, selon TRUSTe, est de créer une ‘liste blanche’ pour guider les annonceurs vers les éditeurs respectant une certaine éthique dans le cadre de leur activité de distribution de leurs produits software.

Plus tôt dans l’année, deux chercheurs ont découvert qu’une société affiliée à ComScore utilisait des exploits [instructions qui permettent l’exploitation de la faille, ndlr] pour installer le logiciel RelevantKnowledge à l’insu de l’utilisateur.

Les deux chercheurs, Eric Howes de Sunbelt Software, et Ben Edelman, professeur adjoint à la Harvard Business School qui étudie depuis longtemps les logiciels espions, ont fait part de leurs conclusions à Truste.

Sur son blog officiel, Truste a affirmé que ComScore a réagi aussitôt en suspendant le distributeur mis en cause et en lançant à distance une instruction pour désactiver et désinstaller tous les téléchargements de RelevantKnowledge provenant du-dit distributeur mal intentionné.

ComScore s’était également engagé à mettre en oeuvre un certain nombre de mesures pour éviter tout autre incident.
TRUSTe a alors décidé de suspendre RelevantKnowledge du projet Trusted Download Program pour une durée de 90 jours, après quoi ComScore serait autorisé à redéposer sa candidature.

Cette décision a suscité la colère des deux chercheurs car la réaction est jugée laxiste. Ils rappellent que Colin O’Malley, directeur de la gestion des produits chez Truste, avait déclaré dans une conférence qui s’était déroulée plus tôt dans l’année que l’installation de logiciels via un exploit était « une activité inacceptable à tous points de vue » et qu’il était nécessaire « d’y mettre un terme immédiatement ».

« Truste a promis d’entreprendre des sanctions complètes et irréversibles en cas de violations. Au lieu de cela, ils affichent une réaction à la fois plus lente et plus indulgente », se plaint Ben Edelman. « ComScore fera des efforts pour empêcher toute autre violation, mais la crédibilité de Truste est remise en question. »

De son côté, Eric Howes s’est montré tout aussi en colère dans une contribution déposée sur le blog officiel de Truste. « Cette affaire était importante puisque c’était la première fois que Truste était évalué publiquement quant à sa capacité à défendre les prétendues valeurs fondamentales de son projet Trusted Download Program », commente-il. « Mais quand le pire est arrivé, Truste a montré qu’il manquait de volonté pour transformer ses engagements en actes concrets. »

Contacté par Vnunet.com, un porte-parole de Truste a indiqué que l’organisation se réjouissait de sa décision de suspendre ComScore. « Les remarques de Colin [O’Malley] concernaient uniquement le cas d’une société directement responsable », a-t-il expliqué. « Dans le cas présent, c’est juste une société affiliée qui a exploité la faille. »

Toujours selon le porte-parole de Truste, la décision de suspension temporaire a également été influencée par la réaction immédiate de ComScore. Et de rappeler que RelevantKnowledge ne serait pas automatiquement réintégré dans le projet Trusted Download Program une fois passé le délai des 90 jours. De son côté, ComScore s’est refusé à tout commentaire.

L’utilisation de tiers est depuis longtemps un sujet de conflit entre les éditeurs de logiciels et le chercheurs en solutions anti-spyware, qui estiment que le recours à des tiers permet aux éditeurs de se prêter à des pratiques douteuses tout en clamant leur parfaite légitimité.

Traduction d’un article de Vnunet.com en date du 24 juillet 2007

Lutte anti-spyware : la crédibilité de Truste remise en question

Cybersécurité : cinq mesures pour protéger ses réseaux

Comprendre «l'après» peut aider les entreprises à se protéger contre les ransomwares

13 conseils pour télétravailler en toute sécurité

Choisir son fournisseur Cloud, une décision stratégique pour les PME

Le stockage dans le cloud continue d’inquiéter les PME

Numérique : le temps de l'augmentation est venu