samedi 26 mai 2018

CCleaner – vent de panique : Avast collecterait-il des données sans notre consentement ?


Comme certainement nombre d'entre vous, j'utilise CCleaner sur mes PC et ça ne date pas d'hier, j'ai en effet rapidement accroché à ce logiciel qui en version de base offre la possibilité de nettoyer pas mal de choses. En juillet 2017 l'éditeur, Piriform, a été racheté par Avast, lui-même éditeur d'une suite de sécurité et d'un antivirus que l'on ne présente plus. Quelques mois plus tard, nous avons appris qu'une version du nettoyeur avait été infectée par un logiciel malveillant alors même que nous téléchargions le logiciel directement sur son site. Nouvelle alerte il y a quelques jours avec la sortie de la version 5.43.6520, qui fait apparaître dans ses options un nouvel onglet Privacy, avec deux options cochées par défaut et qu'il n'est pas possible de décocher, du moins dans la version gratuite.


Avant d'aller plus loin, je tiens à vous rassurer, Avast a fait machine arrière et a sorti dans la foulée la version 5.43.6522, où l'onglet s'appelle désormais Vie privée et où il est désormais possible de décocher l'option présentée.

Comme je suis assez à cheval sur ce qui est en rapport avec la confidentialité, la sécurité et la vie privée, je me suis penché hier soir sur cette version 5.43.6520 et je note ici le résultat de mes investigations.

Avant tout, puisque nous n'avons pas la possibilité d'intervenir sur les options présentées, je me suis empressé de consulter la déclaration de confidentialité. Nous y apprenons des choses intéressantes :
  • les informations collectées ne sont pas nominatives ;
  • l'éditeur fait le nécessaire pour se conformer à la nouvelle loi dite R.G.P.D. ;
  • la politique concernant les données vis-à-vis des sites tiers ;
  • comment fonctionnent le stockage, la rétention et l'effacement des données ;
  • le fait que des données peuvent être collectées par le biais des cookies en navigant sur le site de l'éditeur...
J'avoue que pour une fois, j'ai survolé cette page, le fait qu'elle soit en anglais n'aidant pas même si je n'ai pas de difficultés particulières avec cette langue (on peut bien avoir la flemme de temps en temps, non ? :p).

Étant de nature curieuse, surtout pour tout ce qui touche à l'informatique, j'ai voulu voir par moi-même si je pouvais mettre la main sur les données transmises ainsi que connaître l'endroit où elle étaient envoyées. Pour analyser le trafic réseau, j'avais eu lors de la sortie de Windows 10 l'occasion de me frotter à WireShark et à Glasswire mais, pour varier les plaisirs, c'est Network Monitor que j'ai cette fois-ci installé. Après avoir mis en place quelques filtres, j'ai pu voir ce qui se passait dans le détail et je dois dire que je m'attendais à quelque chose de plus conséquent.

J'ai pu confirmer qu'au lancement de CCleaner, le logiciel communiquait avec un serveur, et Network Monitor m'a affiché le détail des informations échangées, je retranscris ci-après celles qui me paraissent être les plus intéressantes (xxx.xxx.xxx.xxx correspondant à l'adresse IP locale de la machine sur laquelle est lancé Network Monitor) :



- Ipv4: Src = xxx.xxx.xxx.xxx, Dest = 151.101.14.202, Next Protocol = TCP, Packet ID = 23269, Total IP Length = 359
  - Versions: IPv4, Internet Protocol; Header Length = 20
     Version:      (0100....) IPv4, Internet Protocol
     HeaderLength: (....0101) 20 bytes (0x5)



Puis, un peu plus bas :



- Http: Request, GET /auto, Query:a=0&p=cc&v=5.43.6520&l=1036&lk=&mk=NN83-SYS4-FFEC-ET2D-7CKN-RVE4-FV6J-HPHY-7U8U&o=6.3W6&au=1&mx=51A9AD6F044934AFCBE3D0FE895193F9AFDCD6D8E73A139D3515061D4BB11D21&gd=89bdda64-ef5c-4f6f-9f78-31cb4f62f4a1
    Command: GET
  - URI: /auto?a=0&p=cc&v=5.43.6520&l=1036&lk=&mk=NN83-SYS4-FFEC-ET2D-7CKN-RVE4-FV6J-HPHY-7U8U&o=6.3W6&au=1&mx=51A9AD6F044934AFCBE3D0FE895193F9AFDCD6D8E73A139D3515061D4BB11D21&gd=89bdda64-ef5c-4f6f-9f78-31cb4f62f4a1
     Location: /auto
   - Parameters: 0x1
      a: 0
      p: cc
      v: 5.43.6520
      l: 1036
      lk:
      mk: NN83-SYS4-FFEC-ET2D-7CKN-RVE4-FV6J-HPHY-7U8U
      o: 6.3W6
      au: 1
      mx: 51A9AD6F044934AFCBE3D0FE895193F9AFDCD6D8E73A139D3515061D4BB11D21
      gd: 89bdda64-ef5c-4f6f-9f78-31cb4f62f4a1
    ProtocolVersion: HTTP/1.1
    UserAgent:  Mozilla/4.0 (CCleaner, 5.43.6520)
    Host:  www.ccleaner.com
    Cache-Control:  no-cache
    HeaderEnd: CRLF



Au milieu de tout ce charabia, on retient que l'on trouve l'adresse du serveur (151.101.14.202) ainsi que des informations qui ne semblent rien avoir de personnel mais qui permettent d'avoir des précisions sur le logiciel utilisé (cc pour CCleaner), sa localisation (1036 pour France), le système d'exploitation de la machine (6.3W6 correspond à Windows 8.1), le réglage des mises à jour (au=1 veut certainement dire que les mises à jour sont automatiques), c'est en tous cas ce que j'ai compris. J'ai fait quelques recherches sur l'adresse IP affichée et les résultats confirment que l'adresse est bien en lien avec CCleaner, qu'elle appartient à Fastly. Ce matin, le serveur affiché était à Chicago, ce soir, il est à Berlin.

Pour conclure, pas de quoi s'affoler. Par sécurité, j'ai bloqué 151.101.14.202 au niveau de mon pare-feu, j'ai téléchargé la version la plus récente et j'ai décoché l'option dans le nouvel onglet Vie privée. Cela devrait déjà limiter les risques, mais cela ne les fait pas disparaître totalement puisque, nous le voyions un peu avant, des informations sont aussi transmises par le biais des cookies, mais ces derniers sont aussi contrôlables dans le navigateur internet.

Aucun commentaire:

Enregistrer un commentaire