RealNetworks mouchée !
Pour réagir à cet article, utilisez notre forum
Le 10/12/1999
Le procès de RealNetworks le célèbre éditeur de RealPlayer et RealVideo est en cours actuellement. Petit rappel des faits :
Le
consultant en sécurité de chez Brookline Mass, Richard Smith, a (encore) mis à jour un mouchard dans le logiciel RealJukebox du même éditeur.
Ce logiciel est un « player »
de fichiers audio très puissant (lecture de CD audio, lecture MP3 et
encodage MP3) et gestion des bibliothèques de titres. Cette version est
diffusée à plus de 12 millions de copies durant l'hiver 1999 !
A chaque fois que l'on joue un CD, le player affiche le nom du CD, l'artiste
et la liste de toutes les chansons du CD. Ces informations sont obtenues depuis
une base de données sur un serveur Web de RealNetworks.
Richard Smith, intrigué par ces échanges d'informations permanents
avec le serveur, analyse les données à l'aide d'un renifleur de
réseau (sniffer) et découvre que de nombreuses informations sont transmises à l'insu de l'utilisateur
via l'Internet, comme :
Comme
le mouchard de Windows 98, qu'il avait lui même découvert,
un GUID (identificateur global unique) contenant l'adresse MAC (unique) de
sa carte réseau, identifie l'utilisateur.
Quand l'utilisateur se connecte à un site de musique par l'intermédiaire
de RealJukebox, le programme envoie le GUID en même
temps que l'adresse URL du site. Cela permet à RealNetworks de synchroniser
le cookie du site web avec les informations d'enregistrement du produit (registration).
Richard Smith découvre que le GUID est également envoyé sous forme d'URL avec plusieurs commandes de menus de l'utilitaire comme les menus "Sites" et "Help" de RealJukebox.
Voici
la traduction très explicite d'un passage de la page de Richard Smith sur le sujet :
[...] « Malheureusement, les entrées de la base de registre sont cryptées ce qui ne rend pas facile sa compréhension. Toutefois, un consultant informatique Australien que je connais, Geoff Chappell, a bien voulu décrypter l'URL pour moi avec succès. Il trouva les informations de la base de registre suivants qui étaient envoyés à RealNetworks: »
RealJukebox
[email protected]
United States // Localisation
02446
RealJukebox
000000000000100001B6000500007FF7FF00
RJ04
Win98 // O.S. (Windows 98)
586 // CPU (Pentium)
English
1.0.0.438
3d7460c0-83b6-11d3-a67f-444553540000 // GUID
« Parce que le même numéro unique GUID (3d7460c0-83b6-11d3-a67f-444553540000) (NDLR : en dernière ligne) est envoyé à RealNetworks premièrement lors de l'enregistrement du produit et deuxièmement quand je joue un CD Audio, donc en théorie, ils savent quel CD Audio je suis en train d'écouter ! Ils peuvent par exemple créer une liste de tous mes CD et l'intégrer dans une base de données avec mon adresse électronique » [...] (NDLR: traduction par l'auteur).
RealNetworks vient d'éditer un correctif que vous trouverez dans notre rubrique Téléchargement. Celle-ci empêche l'envoie des données et désactive le GUID ReaJukebox, qui est remplacé par des zéros pour tous les utilisateurs. Le GUID ne contient alors plus aucune référence à l'adresse MAC de la carte réseau correspondant à l'ordinateur de l'utilisateur...
Cette collecte d'information à l'insu des utilisateurs est illégale dans plusieurs pays. RealNetworks affirme que ces informations lui permettent d'offrir un service personnalisé et qu'ils ne sont pas vendu à ses sous-traitant...
Le 30 octobre 1999, on pouvait lire sur le site de l'éditeur concernant "La politique du respect de la vie privée de RealNetworks" qu'un GUID est un identifiant alpha-numérique qui est généré aléatoirement par les applications de RealNetworks durant l'installation. Plus loin on lit : "un GUID ne doit pas contenir ou identifier des informations personnelles comme votre nom ou email"...
Comble du Comble, une icône eTrust
trône sur la page d'accueil du site RealNetworks !
Celle-ci concrétise l'engagement de l'éditeur vis à vis
de la « Privacy », du respect de la vie privée
de ses clients... d'ailleurs sur la page d'accueil du site de l'éditeur
on peut encore lire : « RealNetworks s'est engagée à
protéger votre confidentialité... » !!!
Cette similitude avec le mouchard
de Windows 98 s'explique par le fait que président de RealNetworks ,
Rob Glaser, n'est autre qu'un ancien cadre de Microsoft ! La culture
BigBrother ça s'entretien...
Par Denis Dubois
Pour en savoir plus :
La page de Richard M. Smith sur RealJukebox.
La lettre d'explication de RealNetworks (en Français dans le texte).
Les marques et logos mentionnés sont déposés par leurs propriétaires respectifs