(MàJ) Download.com critiqué pour son installeur maison

Confusion des genres 70
Vincent Hermann
Mise à jour : Download.com a réagi officiellement au problème soulevé par Fyodor, le créateur de l’application Nmap. Selon Sean Murphy, responsable général, il s’agit bel et bien d’une erreur, qui a été corrigée. Il va plus loin en indiquant que la base des téléchargements a été entièrement analysée pour chercher d’autres cas d’applications open source qui auraient été repackagées. La politique maison concernant l’open source est en effet de laisser les applications en l’état.

Pour apaiser la situation, Download.com a également procédé à une modification importante : l’accès à l’installeur original de toute application peut se faire maintenant sans recourir à une inscription au site.



Les barres d’outils sont communes sur les navigateurs depuis des années. Certaines sont proposées sur une base volontaire par des grands groupes tels que Microsoft et Google, d’autres sont incluses dans des applications suite à des partenariats commerciaux. Or, voilà que l’auteur d’un logiciel libre s’en prend à CNet à cause de l’inclusion sans sa consultation d’une barre d’outil dans l’installeur.


nmap download.com 

L’application Nmap est une référence dans le monde des réseaux. Il s’agit à la base d’un scanner de ports qui peut détecter une multitude d’éléments dont les ports ouverts, des informations sur le système d’exploitation des ordinateurs auxquels il accède, détecter des services, des pare-feux, des routeurs et ainsi de suite. Son auteur, Fyodor, maintient toujours l’application et dans un message diffusé dans sa mailing list, il pousse un véritable coup de gueule contre CNet.

Le site détient en effet Download.com, propriété de CBS. Depuis peu, ce géant du téléchargement distribuait les applications empaquetées dans un installeur qui propose par défaut la mise en place d’une barre d’outils signée Babylon. Cette dernière s’appuie sur Bing, mais le problème réside ailleurs.

Une présentation qui prête à confusion

Fyodor s’insurge sur la présentation de ce qui semble être l’installeur Windows de Nmap. « Ils fournissent même la taille correcte du fichier de notre installeur officiel. » Problème : ce dispositif a été créé par CNet et selon l'auteur de NMap, « fait un sale travail avant de télécharger et installer le véritable installeur de Nmap. »

Les utilisateurs peuvent croire du coup qu'il s'agit du produit originel dans lequel jamais on ne trouverait autre chose que le code source. Or, après installation, le pack intègre une barre d’outils dans le navigateur, bascule le moteur par défaut sur Bing et la page d’accueil vers MSN. « Le pire est que les utilisateurs vont imaginer que c’est nous qui leur avons fait ça ! » s’énerve Fyodor.

nmap download.com 

L’auteur de Nmap pointe en particulier l’association du nom de l’application écrit en gros caractères et de la mention « Special offer » dans le bandeau rouge figurant en-dessous. Or, non seulement les développeurs de Nmap n’ont pas été informés d’un tel choix, mais l’installeur peut faire croire qu'il est le véritable, malmenant du coup la marque Nmap, ainsi que la licence.

En effet, selon cette dernière, toute application « intégrant/incluant/agrégeant Nmap avec un installeur propriétaire » est interdite. Fyodor explique en effet que c’est l’une des raisons pour lesquelles Nmap n’a jamais été placé sous licence GPL classique : les développeurs avaient ce type de cas à l’esprit.

Sophos ajoute son grain de sel

L’éditeur de solutions de sécurité Sophos a publié de son côté un billet sur son blog officiel. L’étonnement y est également de mise, Sophos ne comprenant pas ce que Download.com a à gagner avec de telles pratiques.

L’éditeur relève bien que Download.com propose un programme d’opt-out mais estime qu’il s’agit d’un raisonnement contraire : les auteurs des applications devraient se voir demander l’autorisation de voir leurs créations intégrées dans un installeur maison, et non l’inverse. La problèmatique des barres préinstallées revient ainsi à la charge.

Sophos souligne particulièrement trois points :
  • Habituer les utilisateurs à installer des applications avec autre chose que l’installeur original impacte négativement la sécurité
  • Les applications open source peuvent être gratuites, mais à moins qu’elles ne soient tombées dans le domaine public, elles ne le sont pas nécessairement pour tout le monde (Nmap est payant lorsqu'inclut dans du code propriétaire, via des licences spécifiques)
  • Profiter de l’installation d’un produit X pour mettre en place un produit Y impacte aussi négativement la sécurité, d’autant plus que l’utilisateur doit volontairement décocher la case pour s’en passer (opt-out)
Nous avons contacté CBS et Microsoft, partenaire de Babylone, et attendons actuellement des réactions de leur part.