Download.com
Download.com est un site web de téléchargement gratuit lancé en 1996 par CNET Networks. À l'origine, l'adresse du site était download.com, elle est devenue download.com.com pendant un certain temps, et est maintenant download.cnet.com. Le site a attiré 113 millions de visiteurs en 2008 selon Compete.com (en)[1].
Vue d'ensemble
Le site offre quatre grandes catégories de contenus : les logiciels (pour Windows, Mac et appareils mobiles), la musique, les jeux et les vidéos. Les contenus sont offerts pour téléchargement via FTP depuis les serveurs de Download.com ou des serveurs tiers. Les vidéos sont des flux directs et la musique est offerte en téléchargements MP3 gratuits, parfois en WMA et occasionnellement en flux avec gestion de droits d'auteur.
La section logiciel comprend plus de 100 000 gratuiciels et partagiciels. Les produits sont souvent évalués et revus par des éditeurs et contiennent une description provenant de l'éditeur du logiciel. Les utilisateurs enregistrés peuvent écrire des commentaires et noter les produits. Les éditeurs de contenus numériques peuvent distribuer gratuitement leurs produits sur le site download.cnet.com. Ils peuvent aussi souscrire à des options payantes qui leur procurent certains avantages. Le téléversement des contenus numériques sur le site se fait à travers le site upload.cnet.com.
Download.com utilise Spigot Inc (en) pour monétiser son trafic. Selon Sean Murphy, directeur général chez Download.com, « Spigot continue d'être un partenaire formidable de Download.com, partageant notre volonté d'atteindre un bon équilibre entre l'expérience client et la génération de revenus »[2].
Distribution de malwares
En août 2011, Download.com a lancé un gestionnaire d'installation nommé CNET TechTracker qui devait être utilisé pour le téléchargement de nombreux logiciels de son catalogue[3]. Ce programme d'installation installait des bloatwares, comme des barres d'outils, et était soupçonné d'installer des chevaux de Troie[4] - [5]. Le site a admis dans sa FAQ de téléchargement qu'« un petit nombre d'éditeurs de logiciels de sécurité ont classé l'installateur comme un adware ou une application potentiellement indésirable »[6].
En décembre 2011, Gordon Lyon, écrivant sous son pseudonyme Fyodor, a mentionné sa forte aversion pour le gestionnaire d'installation et ses préoccupations au sujet des logiciels groupés installés par Download.com. Son message a été diffusé largement sur les réseaux sociaux et sur quelques dizaines de médias. Selon lui, le problème principal est la confusion entre le contenu ajouté par Download.com[7] - [8] et les logiciels offerts par les éditeurs originaux. Il accusait Download.com de tromperie ainsi que de violation des droits d'auteur et des marques[8].
En 2014, The Register et le United States Computer Emergency Readiness Team (US-CERT) ont averti que, via les bloatwares de download.com, un « attaquant pourrait télécharger et exécuter n'importe quel code »[9]. En 2015, une recherche de EMSISOFT suggérait que tous les fournisseurs de téléchargements gratuits groupaient leurs téléchargements avec des logiciels potentiellement indésirables et que Download.com était le pire délinquant[10].
Une étude de How-To Geek en 2015 a révélé que Download.com groupait des malwares dans ses installateurs. Le test avait été effectué dans une machine virtuelle où les testeurs avaient téléchargé les 10 applications les plus populaires de Download.com. Toutes contenaient des bloatwares et des logiciels malveillants. Par exemple, le programme d'installation de KMPlayer installait un antivirus rogue (un antivirus malveillant) nommé Pro PC Cleaner et tentait d'exécuter le programme WajamPage.exe. Certains téléchargements, en particulier YTD, avaient été complètement bloqués par Avast[11].
Une autre étude de How-To Geek en 2015 a révélé que Download.com installait de faux certificats SSL dans ses installateurs, des certificats semblables au certificat Lenovo Superfish. Ces faux certificats pouvaient compromettre le cryptage SSL et permettre des attaques de l'homme du milieu[12].
À la suite des critiques, il semble que Download.com a amélioré ses pratiques. En effet, en juillet 2016, How-To Geek a indiqué que Download.com ne groupait plus d'adwares et de malwares dans ses téléchargements et que son programme d'installation avait été supprimé[13].
Références
- Download.com attracts over 100m visitors yearly
- (en) « Search Extensions » [archive du ] (consulté le )
- (en-US) « Download App - Free download and software reviews - CNET Download.com », Cnet.com (consulté le )
- (en-US) « Download.com wraps downloads in bloatware, lies about motivations », ExtremeTech (consulté le )
- (en-US) Kevin Parrish, « CNET Accused of Bundling Software Downloads with Trojans », Tom's Guide, (consulté le )
- best pc cleaner
- (en) Brian Krebs, « Download.com Bundling Toolbars, Trojans? », Krebs on security, (consulté le )
- (en) Gordon Lyon, « Download.com Caught Adding Malware to Nmap & Other Software », (consulté le ) : « we suggest avoiding CNET Download.com entirely »
- (en) Darren Pauli, « Insecure AVG search tool shoved down users' throats, says US CERT », The Register, (consulté le ) : « Sneaky 'foistware' downloads install things you never asked for »
- (en) « Mind the PUP: Top download portals to avoid », EMSISOFT, (consulté le )
- (en) Lowell Heddings, « Here's What Happens When You Install The Top 10 Download.com Apps », How-To Geek, (consulté le )
- (en) Lowell Heddings, « Download.com and Others Bundle Superfish-Style HTTPS Breaking Adware », How-To Geek, (consulté le )
- (en) Chris Hoffman, « Download.com Has Finally Stopped Bundling Crapware », How-To Geek, (consulté le )