Si l’on parle beaucoup de Java actuellement pour les multiples failles découvertes dans son code, son installeur réserve souvent de mauvaises surprises. Lorsque l’on se penche sur la manière dont est installé l’environnement ou même ses mises à jour, certains constats ne sont pas sans rappeler le comportement des adwares il y a encore quelques années.
Ed Bott de ZDnet s’est penché sur un sujet particulier : l’installation de Java. Le plus souvent, l’environnement est installé et l’on n’y prête presque plus attention. Tout du moins tant qu’une mise à jour n’est pas signalée à l’utilisateur, auquel cas certains comportements douteux sont à nouveau de la partie.
Comme on peut le voir avec la capture ci-dessus, Java demande systématiquement aux utilisateurs s’ils veulent installer la barre de recherche Ask. Le plus souvent, cette installation est refusée, pour la simple et bonne raison que tous les navigateurs proposent aujourd’hui un champ rassemblant plusieurs moteurs, dont Google et Bing. Si elle est refusée, la barre ne s’installe pas. Toutefois, si elle acceptée sans y faire attention, il se produit un phénomène relativement insidieux.
Une installation différée pour mieux tromper l'utilisateur
Si l’installation de la barre Ask a été acceptée, elle ne démarre pas tout de suite. Si l’utilisateur se rend compte de son choix, il se tourne alors vers le panneau de configuration pour la désinstaller, ou lance le navigateur pour contrôler que la barre est présente. Rassuré par son absence, il peut alors estimer être passé entre les mailles du filet. Mais l’installation se lance en fait dix minutes plus tard, un comportement qu’Ed Bott rapproche de WhenU, Gator, et Claria. Des noms restés comme représentatifs de ce qu’il est possible de faire pour tromper l’utilisateur et s’insinuer dans tous les recoins du système. Pour information, nous avons nous-mêmes effectué la manipulation et avons constaté le même processus.
La capture ci-dessus montre qu'il existe bien un processus Ask après la fin de l'installation de Java. Cependant, dans le Panneau de configuration, aucune mention de la barre. Dix minutes plus tard, la barre apparaît bien dans Ajout/suppression de programmes, et un autre processus a pris la place de l'ancien :
McAfee Security Scanner est également proposé de cette manière, mais l’installation n’est pas lancée en différé si l’utilisateur l’a accepté. Mais le point noir de l’installeur Java est qu’il ne retient jamais les préférences de l’utilisateur. À chaque mise à jour proposée, c’est tout l’assistant qui se relance, comme autant de nouvelles chances de pouvoir installer Ask ou McAfee Security Scanner. Des habitudes qui ne visent évidemment qu’un aspect financier, Oracle touchant une commission pour chaque installation, mais cadrant très mal avec une société qui commercialise des solutions professionnelles.
Ed Bott souligne que d’autres solutions qui pouvaient être connues pour ce genre de pratique ont changé avec les années. Skype par exemple ne propose plus rien d’autre, bien qu’il demande quand même à l’utilisateur s’il souhaite changer de moteur de recherche et de page d’accueil par défaut. Flash demande toujours s’il peut installer Chrome, mais il n’y a pas de piège, et les mises à jour se font désormais de manière silencieuse.
On peut se demander pourquoi Oracle continue de maintenir des techniques d’un autre âge qui ne peuvent finalement que lui apporter de mauvais retours en termes d’image. Ce type de pratique agace très rapidement l’utilisateur, et à l’heure où de nombreux éditeurs ont fait des efforts dans ce domaine, il serait temps que la firme en fasse de même.
