RealJukeBox espionne votre discothèque
La société RealNetworks a placé une trappe logicielle dans son application JukeBox, qui sert à lire et enregistrer les titres d’un CD sur le disque dur. Qu’il s’agisse de votre style préféré pour la copie au format MP3 ou de la marque de votre baladeur numérique, l’éditeur sait déjà presque tout sur vous…
Comment garantir que vos logiciels ne vous espionnent pas ? Malgré les promesses angéliques des éditeurs, la méfiance légitime des utilisateurs ne devrait pas s’estomper de sitôt. La preuve : ridiculisant la très sérieuse certification sur le respect de la vie privée apportée par l’organisation indépendante TRUSTe, l’éditeur RealNetworks vient d’être épinglé pour avoir espionné, dans le plus grand secret, les ordinateurs de plus de 13 millions d’utilisateurs. L’objet du délit n’est autre que RealJukeBox, logiciel disponible gratuitement pour lire des CD et enregistrer des fichiers MP3 sur son ordinateur.
L’application engrange plusieurs informations personnelles (nom, prénom, adresse, e-mail) lors de l’inscription pour un téléchargement depuis le site Real.com. Problème, elle recèle un numéro d’identification unique baptisé GUI (pour Globally Unique Identifier). Selon le consultant en sécurité américain Richard Smith, à l’origine de cette découverte relatée par le New York Times, RealJukeBox transmet à son éditeur plusieurs informations personnelles associées au tatouage GUI, et cela chaque fois que l’ordinateur est relié à Internet ! Précisément, la société sait combien de titres sont stockés sur votre disque dur, quels sont vos styles de musique préférés et la nature des formats de fichiers générés lors des copies (RealAudio ou MP3), avec leur qualité d’échantillonnage. En outre, le logiciel informe RealNetworks sur le type d’appareil MP3 (baladeur, autoradio) que vous utilisez, le cas échéant. Plus fort encore : le logiciel transmettrait les titres des CD que vous écoutez lorsque les paramétrages font de lui le lecteur CD par défaut de votre ordinateur.
Une telle fonction permet de connaître avec une précision inégalée tous vos goûts musicaux, d’où un intérêt évident pour le marketing personnalisé. En toute illégalité, toutefois. Plus grave, ces données pourraient devenir l’instrument idéal d’une nouvelle chasse aux sorcières. L’industrie du disque serait en effet ravie de pouvoir identifier et retrouver physiquement, grâce aux fichiers de RealJukeBox, les personnes qui copient illégalement des CD ou des morceaux au format MP3.
Pour limiter les dégâts, RealNetworks s’est dépêché de reconnaître les faits. Il se défend même en invoquant un mélange d’oubli et d’erreur, sur un sujet pourtant sensible aux Etats-Unis. L’éditeur assure en outre que son mouchard n’a pas été conçu dans le but d’espionner. Il s’agissait plutôt de définir des « profils statistiques » pour mieux répondre à la demande des utilisateurs et fournir aux internautes un contenu ou des fonctions davantage associés à leurs goûts. Reste que les textes réglementaires actuellement en vigueur (Computer Fraud and Abuse Act), interdisent de cibler les informations aussi précisément. Pour montrer sa bonne volonté, RealNetworks publie un patch de 67 Ko sur son site, afin de neutraliser le GUI et empêcher le transfert des données collectées vers le serveur de la société. Le patch sera bientôt intégré en standard au logiciel jukebox. Qui sera le prochain ?
Pour en savoir plus :