RealNetworks mouchée !

Pour réagir à cet article, utilisez notre forum

Le 10/12/1999

Le procès de RealNetworks le célèbre éditeur de RealPlayer et RealVideo est en cours actuellement. Petit rappel des faits :

Le consultant en sécurité de chez Brookline Mass, Richard Smith, a (encore) mis à jour un mouchard dans le logiciel RealJukebox du même éditeur.

Ce logiciel est un « player » de fichiers audio très puissant (lecture de CD audio, lecture MP3 et encodage MP3) et gestion des bibliothèques de titres. Cette version est diffusée à plus de 12 millions de copies durant l'hiver 1999 ! A chaque fois que l'on joue un CD, le player affiche le nom du CD, l'artiste et la liste de toutes les chansons du CD. Ces informations sont obtenues depuis une base de données sur un serveur Web de RealNetworks.

Richard Smith, intrigué par ces échanges d'informations permanents avec le serveur, analyse les données à l'aide d'un renifleur de réseau (sniffer) et découvre que de nombreuses informations sont transmises à l'insu de l'utilisateur via l'Internet, comme :

• Les catégories (types musicaux) des titres lus
• Le nombre de titres stockés sur le disque dur de l'utilisateur
• Le nom des albums écoutés
• Les formats de fichiers les plus utilisés (mp3,...)
• Le modèle du player MP3 utilisé (WinAmp...)

Comme le mouchard de Windows 98, qu'il avait lui même découvert, un GUID (identificateur global unique) contenant l'adresse MAC (unique) de sa carte réseau, identifie l'utilisateur.
Quand l'utilisateur se connecte à un site de musique par l'intermédiaire de RealJukebox, le programme envoie le GUID en même temps que l'adresse URL du site. Cela permet à RealNetworks de synchroniser le cookie du site web avec les informations d'enregistrement du produit (registration).

Richard Smith découvre que le GUID est également envoyé sous forme d'URL avec plusieurs commandes de menus de l'utilitaire comme les menus "Sites" et "Help" de RealJukebox.

Voici la traduction très explicite d'un passage de la page de Richard Smith sur le sujet :
 

[...] « Malheureusement, les entrées de la base de registre sont cryptées ce qui ne rend pas facile sa compréhension. Toutefois, un consultant informatique Australien que je connais, Geoff Chappell, a bien voulu décrypter l'URL pour moi avec succès. Il trouva les informations de la base de registre suivants qui étaient envoyés à RealNetworks: »

   RealJukebox
   [email protected]                              // E-mail
   United States                                // Localisation
   02446
   RealJukebox
   000000000000100001B6000500007FF7FF00
   RJ04
   Win98                                        // O.S. (Windows 98)    
   586                                          // CPU  (Pentium)
   English
   1.0.0.438
   3d7460c0-83b6-11d3-a67f-444553540000         // GUID

 

« Parce que le même numéro unique GUID (3d7460c0-83b6-11d3-a67f-444553540000) (NDLR : en dernière ligne) est envoyé à RealNetworks premièrement lors de l'enregistrement du produit et deuxièmement quand je joue un CD Audio, donc en théorie, ils savent quel CD Audio je suis en train d'écouter ! Ils peuvent par exemple créer une liste de tous mes CD et l'intégrer dans une base de données avec mon adresse électronique » [...] (NDLR: traduction par l'auteur).

RealNetworks vient d'éditer un correctif que vous trouverez dans notre rubrique Téléchargement. Celle-ci empêche l'envoie des données et désactive le GUID ReaJukebox, qui est remplacé par des zéros pour tous les utilisateurs. Le GUID ne contient alors plus aucune référence à l'adresse MAC de la carte réseau correspondant à l'ordinateur de l'utilisateur...

Cette collecte d'information à l'insu des utilisateurs est illégale dans plusieurs pays. RealNetworks affirme que ces informations lui permettent d'offrir un service personnalisé et qu'ils ne sont pas vendu à ses sous-traitant...

Le 30 octobre 1999, on pouvait lire sur le site de l'éditeur concernant "La politique du respect de la vie privée de RealNetworks" qu'un GUID est un identifiant alpha-numérique qui est généré aléatoirement par les applications de RealNetworks durant l'installation. Plus loin on lit : "un GUID ne doit pas contenir ou identifier des informations personnelles comme votre nom ou email"...

Comble du Comble, une icône eTrust trône sur la page d'accueil du site RealNetworks !
Celle-ci concrétise l'engagement de l'éditeur vis à vis de la « Privacy », du respect de la vie privée de ses clients... d'ailleurs sur la page d'accueil du site de l'éditeur on peut encore lire : « RealNetworks s'est engagée à protéger votre confidentialité... » !!!

Cette similitude avec le mouchard de Windows 98 s'explique par le fait que président de RealNetworks , Rob Glaser, n'est autre qu'un ancien cadre de Microsoft ! La culture BigBrother ça s'entretien...
 

Par Denis Dubois

Pour en savoir plus :


La page de Richard M. Smith sur RealJukebox.

La page de Geoff Chappell

La lettre d'explication de RealNetworks (en Français dans le texte).

Les marques et logos mentionnés sont déposés par leurs propriétaires respectifs