[Date Prev][Date Next][Thread Prev][Thread Next][Date Index][Thread Index]
www/proprietary proprietary-back-doors.fr.html ...
From: |
GNUN |
Subject: |
www/proprietary proprietary-back-doors.fr.html ... |
Date: |
Sat, 24 Feb 2018 09:30:26 -0500 (EST) |
CVSROOT: /web/www
Module name: www
Changes by: GNUN <gnun> 18/02/24 09:30:24
Modified files:
proprietary : proprietary-back-doors.fr.html
proprietary/po : proprietary-back-doors.fr-en.html
Log message:
Automatic update by GNUnited Nations.
CVSWeb URLs:
http://web.cvs.savannah.gnu.org/viewcvs/www/proprietary/proprietary-back-doors.fr.html?cvsroot=www&r1=1.42&r2=1.43
http://web.cvs.savannah.gnu.org/viewcvs/www/proprietary/po/proprietary-back-doors.fr-en.html?cvsroot=www&r1=1.40&r2=1.41
Patches:
Index: proprietary-back-doors.fr.html
===================================================================
RCS file: /web/www/www/proprietary/proprietary-back-doors.fr.html,v
retrieving revision 1.42
retrieving revision 1.43
diff -u -b -r1.42 -r1.43
--- proprietary-back-doors.fr.html 12 Feb 2018 13:37:46 -0000 1.42
+++ proprietary-back-doors.fr.html 24 Feb 2018 14:30:23 -0000 1.43
@@ -22,9 +22,223 @@
utilisateurs qu'ils devraient servir.</p>
<p>Voici des exemples de portes dérobées documentées dans des logiciels
-privateurs.</p>
+privateurs. Elles sont classées d'après ce qu'elles permettent de faire. Les
+portes dérobées qui permettent de prendre totalement le contrôle du système
+d'exploitation sont dites « universelles ».</p>
+
+<p class="c">
+ <a href="#spy">Espionner</a> | <a
+href="#alter-data">Altérer les données/préférences de
+l'utilisateur</a> | <a
+href="#install-delete">Installer/supprimer des programmes</a> | <a
+href="#universal">Contrôle total</a> | <a
+href="#other">Autre/non défini</a>
+</p>
<!-- WEBMASTERS: make sure to place new items on top under each subsection -->
+<h3 id="spy">Espionner</h3>
+
+<ul>
+ <li>
+ <p id="InternetCameraBackDoor">De nombreux modèles de caméras
connectées contiennent une porte dérobée
+caractérisée. Elles ont des comptes utilisateurs avec des mots de passe
+codés en dur, non modifiables, et qui <a
+href="https://arstechnica.com/security/2017/06/internet-cameras-expose-private-video-feeds-and-remote-controls/">ne
+peuvent pas non plus être supprimés</a>.</p>
+ <p>Puisque ces comptes avec mots de passe codés en dur sont impossibles Ã
+supprimer, il ne s'agit pas seulement d'insécurité ; il s'agit d'une porte
+dérobée qui peut être utilisée par le fabricant (et le gouvernement) pour
+espionner les utilisateurs.</p>
+ </li>
+
+ <li>
+ <p>WhatsApp <a
+href="https://www.theguardian.com/technology/2017/jan/13/whatsapp-backdoor-allows-snooping-on-encrypted-messages">a
+une porte dérobée que cette société peut utiliser pour lire les messages en
+clair</a>.</p>
+ <p>Cela ne doit pas nous étonner. Les logiciels de chiffrement non libres
ne
+sont jamais fiables.</p>
+ </li>
+
+ <li>
+ <p><a
+href="https://theintercept.com/2015/12/28/recently-bought-a-windows-computer-microsoft-probably-has-your-encryption-key/">Microsoft
+a déjà mis une porte dérobée dans le chiffrement des disques</a>.</p>
+ </li>
+
+ <li>
+ <p>Apple peut â et elle le fait régulièrement â <a
+href="http://arstechnica.com/apple/2014/05/new-guidelines-outline-what-iphone-data-apple-can-give-to-police/">extraire
+à distance certaines données des iPhones pour l'Ãtat</a>.</p>
+ <p>Il y a peut-être du progrès avec <a
+href="http://www.washingtonpost.com/business/technology/2014/09/17/2612af58-3ed2-11e4-b03f-de718edeb92f_story.html">iOS
+8, qui a une sécurité améliorée</a>, mais <a
+href="https://firstlook.org/theintercept/2014/09/22/apple-data/">pas autant
+que le prétend Apple</a>.</p>
+ </li>
+</ul>
+
+<h3 id="alter-data">Altérer les données ou préférences de
l'utilisateur</h3>
+
+<ul>
+ <li id="chrome-erase-addons">
+ <p>Chrome a une porte dérobée <a
+href="https://consumerist.com/2017/01/18/why-is-google-blocking-this-ad-blocker-on-chrome/">pour
+l'effacement à distance des modules complémentaires</a>.</p>
+ </li>
+
+ <li>
+ <p>Une application qui contrôle les tests de grossesse peut non seulement
+espionner toute une variété de données personnelles stockées dans le
+téléphone ou sur le serveur, <a
+href="http://www.theverge.com/2016/4/25/11503718/first-response-pregnancy-pro-test-bluetooth-app-security">mais
+aussi les altérer</a>.</p>
+ </li>
+
+ <li>
+ <p>L'appli Dropbox pour MacIntosh <a
+href="http://applehelpwriter.com/2016/07/28/revealing-dropboxs-dirty-little-security-hack/">prend
+le contrôle des éléments de l'interface utilisateur après avoir piégé ce
+dernier pour obtenir un mot de passe administrateur</a>.</p>
+ </li>
+
+ <li>
+ <p>Des utilisateurs ont rapporté que <a
+href="http://www.networkworld.com/article/2993490/windows/windows-10-upgrades-reportedly-appearing-as-mandatory-for-some-users.html#tk.rss_all">Microsoft
+les avait forcés à remplacer Windows 7 ou 8 par Windows 10, l'espion tous
+azimuths</a>.</p>
+ <p>Microsoft <a
+href="http://www.computerworld.com/article/3012278/microsoft-windows/microsoft-sets-stage-for-massive-windows-10-upgrade-strategy.html">attaquait
+effectivement les ordinateurs sous Windows 7 et 8</a> en modifiant un
+drapeau indiquant si la « mise à niveau » vers Windows 10 devait être
faite,
+lorsque l'utilisateur avait coché « non ».</p>
+ <p>Plus tard, Microsoft a publié des instructions sur <a
+href="http://arstechnica.com/information-technology/2016/01/microsoft-finally-has-a-proper-way-to-opt-out-of-windows-78-to-windows-10-upgrades/">la
+manière de refuser définitivement la régression vers Windows 10</a>.</p>
+ <p>Il semble que cela se fasse au moyen d'une porte dérobée dans Windows
7
+et 8.</p>
+ </li>
+
+ <li>
+ <p>Des véhicules de Caterpillar sont livrés avec <a
+href="http://www.zerohedge.com/news/2015-11-19/caterpillar-depression-has-never-been-worse-it-has-cunning-plan-how-deal-it">une
+porte dérobée permettant d'arrêter le moteur</a> à distance.</p>
+ </li>
+
+ <li>
+ <p>Les sal…applis <a
+href="http://toucharcade.com/2015/09/16/we-own-you-confessions-of-a-free-to-play-producer/">rassemblent
+une grande variété de données sur leurs utilisateurs, ainsi que sur les amis
+et associés de leurs utilisateurs</a>.</p>
+ <p>Pire, cela se fait au moyen de réseaux publicitaires qui combinent les
+données rassemblées par diverses sal…applis et divers sites créés
par
+différentes sociétés.</p>
+ <p>Ils utilisent ces données pour inciter les gens à faire des achats et
font
+la chasse aux « baleines » qu'ils peuvent amener à faire de grosses
+dépenses. Ils utilisent aussi une porte dérobée afin de manipuler le
+déroulement du jeu pour des joueurs particuliers.</p>
+ <p>Bien que l'article décrive des jeux gratuits, les jeux payants peuvent
+utiliser la même tactique.</p>
+ </li>
+
+ <li>
+ <p><a id="samsung"
+href="https://www.fsf.org/blogs/community/replicant-developers-find-and-close-samsung-galaxy-backdoor">Les
+Galaxy de Samsung qui tournent sous des versions privatrices d'Android sont
+livrés avec une porte dérobée</a> qui permet l'accès à distance aux
fichiers
+stockés dans l'appareil.</p>
+ </li>
+
+ <li>
+ <p><a
+href="http://www.itworld.com/article/2705284/data-protection/backdoor-found-in-d-link-router-firmware-code.html">Certains
+routeurs D-Link</a> ont une porte dérobée pour changer les réglages.</p>
+ <p><a href="http://sekurak.pl/tp-link-httptftp-backdoor/">Le routeur
TP-Link a
+une porte dérobée</a>.</p>
+ <p><a href="https://github.com/elvanderb/TCP-32764">De nombreux modèles de
+routeurs ont des portes dérobées</a>.</p>
+ </li>
+
+ <li id="swindle-eraser">
+ <p>Le Kindle-Swindle d'Amazon a une porte dérobée qui a servi à <a
+href="http://pogue.blogs.nytimes.com/2009/07/17/some-e-books-are-more-equal-than-others/">effacer
+des livres à distance</a>. Un de ces livres était <cite>1984</cite>, de
+George Orwell.</p>
+ <p>Amazon a répondu aux critiques en disant qu'elle n'effacerait des
livres que
+sur ordre de l'Ãtat. Cependant, cette politique n'a pas duré. En 2012 elle a
+<a
+href="http://boingboing.net/2012/10/22/kindle-user-claims-amazon-dele.html">complètement
+effacé le Kindle-Swindle d'une utilisatrice et supprimé son compte</a>, puis
+lui a donné des « explications » kafkaïennes.</p>
+ <p>Est-ce que les autres liseuses ont des portes dérobées dans leurs
+logiciels ? Nous n'en savons rien et n'avons aucun moyen de le
+découvrir. Rien ne nous laisse supposer qu'elles n'en ont pas.</p>
+ </li>
+
+ <li>
+ <p>L'iPhone a une porte dérobée pour <a
+href="http://www.npr.org/2010/11/22/131511381/wipeout-when-your-company-kills-your-iphone">l'effacement
+complet à distance</a>. Elle n'est pas activée en permanence, mais les
+utilisateurs sont amenés à l'activer sans comprendre ce que cela
implique.</p>
+ </li>
+</ul>
+
+<h3 id="install-delete">Installer ou supprimer des programmes</h3>
+
+<ul>
+ <li>
+ <p>La bibliothèque Android privatrice de Baidu (Moplus) a une porte
dérobée qui
+<a
+href="https://www.eff.org/deeplinks/2015/11/millions-android-devices-vulnerable-remote-hijacking-baidu-wrote-code-google-made">peut
+« uploader des fichiers » et aussi installer des applis de force</a>.</p>
+ <p>Elle est utilisée par 14 000 applications Android.</p>
+ </li>
+
+ <li>
+ <p>Dans Android, <a
+href="http://www.computerworld.com/article/2506557/security0/google-throws--kill-switch--on-android-phones.html">Google
+a une porte dérobée qui lui permet de supprimer des applications Ã
+distance</a> (elle est dans un programme appelé GTalkService qui semble,
+depuis la parution de cet article, avoir été intégré à Google Play).</p>
+ <p>Google peut aussi <a
+href="https://jon.oberheide.org/blog/2010/06/25/remote-kill-and-install-on-google-android/">installer
+des applis, de force et à distance</a> au moyen de GTalkService. Ce n'est
+pas l'équivalent d'une porte dérobée universelle, mais cela rend possibles
+divers mauvais coups.</p>
+ <p>Bien que <em>l'exercice</em> de ce pouvoir par Google n'ait pas été
+malfaisant jusqu'à présent, le fait est que personne ne doit posséder un tel
+pouvoir, car il pourrait aussi être utilisé de manière malfaisante. Vous
+pourriez parfaitement décider de laisser un service de sécurité
+<em>désactiver</em> à distance les programmes qu'il considère comme
+malveillants. Mais il n'y a aucune excuse pour les <em>supprimer</em>, et
+vous devez avoir le droit de décider à qui accorder une telle confiance (Ã
+supposer que vous l'accordiez à quelqu'un).</p>
+ </li>
+
+ <li>
+ <p><a
+href="http://www.computerworld.com/article/2500036/desktop-apps/microsoft--we-can-remotely-delete-windows-8-apps.html">De
+même, Windows 8 a une porte dérobée pour supprimer des applications Ã
+distance</a>.</p>
+ <p>Vous pouvez parfaitement décider de laisser un service de sécurité
en qui
+vous avez confiance <em>désactiver</em> les programmes qu'il considère comme
+malveillants. Mais il n'y a aucune excuse pour les <em>supprimer</em>, et
+vous devez avoir le droit de décider si vous voulez faire confiance Ã
+quelqu'un pour cela, et à qui.</p>
+ </li>
+
+ <li>
+ <p>L'iPhone a une porte dérobée <a
+href="http://www.telegraph.co.uk/technology/3358134/Apples-Jobs-confirms-iPhone-kill-switch.html">qui
+permet à Apple d'effacer à distance les applications</a> qu'elle estime
+« inappropriées ». D'après ce que disait Jobs, il est acceptable qu'Apple
+possède ce pouvoir, car naturellement nous pouvons lui faire confiance.</p>
+ </li>
+</ul>
+
+
+<h3 id="universal">Contrôle total</h3>
+
<ul>
<li>
<p>ChromeOS a une porte dérobée universelle. Du moins, c'est ce que dit
Google
@@ -52,7 +266,6 @@
<p>Les voitures Tesla ont une <a
href="https://techcrunch.com/2017/09/09/tesla-flips-a-switch-to-increase-the-range-of-some-cars-in-florida-to-help-people-evacuate/">porte
dérobée universelle</a>.</p>
-
<p>Donner à distance aux « propriétaires » la permission d'utiliser
l'entière
capacité de la batterie ne leur fait aucun mal. Cependant, la même porte
dérobée permettrait à Tesla (peut-être sur commande d'un gouvernement) de
@@ -61,26 +274,13 @@
</li>
<li>
- <p id="InternetCameraBackDoor">De nombreux modèles de caméras
connectées contiennent une porte dérobée
-caractérisée. Elles ont des comptes utilisateurs avec des mots de passe
-codés en dur, non modifiables, et qui <a
-href="https://arstechnica.com/security/2017/06/internet-cameras-expose-private-video-feeds-and-remote-controls/">ne
-peuvent pas non plus être supprimés</a>.
- </p>
-
- <p>Puisque ces comptes avec mots de passe codés en dur sont impossibles Ã
-supprimer, il ne s'agit pas seulement d'insécurité ; il s'agit d'une porte
-dérobée qui peut être utilisée par le fabricant (et le gouvernement) pour
-espionner les utilisateurs.</p>
- </li>
-
- <li>
<p>Les téléviseurs « intelligents » Vizio <a
href="https://www.ftc.gov/news-events/blogs/business-blog/2017/02/what-vizio-was-doing-behind-tv-screen">ont
une porte dérobée universelle</a>.</p>
</li>
- <li><p>L'Echo d'Amazon semble avoir une porte dérobée universelle
puisque <a
+ <li>
+ <p>L'Echo d'Amazon semble avoir une porte dérobée universelle puisque <a
href="https://en.wikipedia.org/wiki/Amazon_Echo#Software_updates">les
« mises à jour » s'installent automatiquement.</a></p>
<p>Nous n'avons rien trouvé qui prouve l'absence totale de moyen pour
@@ -88,51 +288,48 @@
évident.</p>
</li>
- <li id="chrome-erase-addons"><p>Chrome a une porte dérobée <a
-href="https://consumerist.com/2017/01/18/why-is-google-blocking-this-ad-blocker-on-chrome/">pour
-l'effacement à distance des modules complémentaires</a>.</p>
- </li>
-
- <li>
- <p>WhatsApp <a
-href="https://www.theguardian.com/technology/2017/jan/13/whatsapp-backdoor-allows-snooping-on-encrypted-messages">a
-une porte dérobée que cette société peut utiliser pour lire les messages en
-clair</a>.</p>
-
- <p>Cela ne doit pas nous étonner. Les logiciels de chiffrement non
libres ne
-sont jamais fiables.</p>
- </li>
-
- <li><p>Une application qui contrôle les tests de grossesse peut non
seulement
-espionner toute une variété de données personnelles stockées dans le
-téléphone ou sur le serveur, <a
-href="http://www.theverge.com/2016/4/25/11503718/first-response-pregnancy-pro-test-bluetooth-app-security">mais
-aussi les altérer</a>.</p>
- </li>
-
<li>
<p>Les téléphones Xiaomi sont livrés avec une <a
href="https://www.thijsbroenink.com/2016/09/xiaomis-analytics-app-reverse-engineered">porte
dérobée universelle à l'usage de Xiaomi</a> dans le processeur
d'application.</p>
-
<p>Elle est différente de la <a
href="#universal-back-door-phone-modem">porte
dérobée universelle utilisable par l'opérateur téléphonique local</a>, qui
existe dans le processeur du modem.</p>
</li>
- <li><p>Une mise à jour de Capcom Street Fighter V, le jeu de Capcom, <a
-href="https://web.archive.org/web/20160930051146/http://www.theregister.co.uk/2016/09/23/capcom_street_fighter_v/">a
-installé un pilote qui peut être utilisé comme porte dérobée par toute
-application installée sur un ordinateur sous Windows</a>.</p>
+ <li>
+ <p>Microsoft Windows a une porte dérobée universelle qui permet <a
+href="https://web.archive.org/web/20071011010707/http://informationweek.com/news/showArticle.jhtml?articleID=201806263">d'imposer
+n'importe quel changement aux utilisateurs</a>.</p>
+ <p>Plus d'information sur le moment où <a
+href="http://slated.org/windows_by_stealth_the_updates_you_dont_want">elle a
+été utilisée</a>. </p>
+ <p>Dans Windows 10, la porte dérobée universelle n'est plus cachée ;
les
+« mises à jour » seront <a
+href="http://arstechnica.com/information-technology/2015/07/windows-10-updates-to-be-automatic-and-mandatory-for-home-users/">imposées
+immédiatement, de force</a>.</p>
</li>
- <li><p>L'appli Dropbox pour MacIntosh <a
-href="http://applehelpwriter.com/2016/07/28/revealing-dropboxs-dirty-little-security-hack/">prend
-le contrôle total de la machine en réclamant sans arrêt un mot de passe
-administrateur</a>.</p>
+ <li>
+ <p><a
+href="http://www.theguardian.com/technology/2014/dec/18/chinese-android-phones-coolpad-hacker-backdoor">Une
+version chinoise d'Android a une porte dérobée universelle</a>. Presque tous
+les modèles de téléphones mobiles ont une <a
+href="#universal-back-door">porte dérobée universelle sur la puce
+modem</a>. Alors, pourquoi Coolpad se donnerait-il la peine d'en introduire
+une autre ? Parce que celle-ci est sous son contrôle.</p>
</li>
- <li><p id="universal-back-door">Chacun, ou presque, des processeurs de
communication utilisés en téléphonie
+
+ <li>
+ <p><a
+href="http://www.techienews.co.uk/973462/bitcoin-miners-bundled-pups-legitimate-applications-backed-eula/">Certaines
+applications sont associées à MyFreeProxy, qui est une porte dérobée
+universelle capable de télécharger des programmes et de les
exécuter</a>.</p>
+ </li>
+
+ <li>
+ <p id="universal-back-door">Chacun, ou presque, des processeurs de
communication utilisés en téléphonie
a une porte dérobée universelle qui est <a
href="https://www.schneier.com/blog/archives/2006/12/remotely_eavesd_1.html">souvent
employée pour forcer le téléphone à transmettre toutes les conversations
@@ -158,27 +355,32 @@
suivis et que la fonction d'écoute peut être rendue opérante.</p>
</li>
- <li><p><a
-href="https://theintercept.com/2015/12/28/recently-bought-a-windows-computer-microsoft-probably-has-your-encryption-key/">Microsoft
-a déjà mis une porte dérobée dans le chiffrement des disques</a>.</p></li>
-
- <li><p>Les sal…applis <a
-href="http://toucharcade.com/2015/09/16/we-own-you-confessions-of-a-free-to-play-producer/">rassemblent
-une grande variété de données sur leurs utilisateurs, ainsi que sur les amis
-et associés de leurs utilisateurs</a>.</p>
+ <li>
+ <p>En plus de son « effaceur de livre », le Kindle-Swindle a une <a
+href="http://www.amazon.com/gp/help/customer/display.html?nodeId=200774090">porte
+dérobée universelle</a>.</p>
+ </li>
+</ul>
- <p>Pire, cela se fait au moyen de réseaux publicitaires qui combinent
les
-données rassemblées par diverses sal…applis et divers sites créés
par
-différentes sociétés.</p>
+<h3 id="other">Autre ou non défini</h3>
- <p>Ils utilisent ces données pour inciter les gens à faire des achats
et font
-la chasse aux « baleines » qu'ils peuvent amener à faire de grosses
-dépenses. Ils utilisent aussi une porte dérobée afin de manipuler le
-déroulement du jeu pour des joueurs particuliers.</p>
+<ul>
+ <li>
+ <p>Une mise à jour de Street Fighter V, le jeu de Capcom, <a
+href="https://web.archive.org/web/20160930051146/http://www.theregister.co.uk/2016/09/23/capcom_street_fighter_v/">a
+installé un pilote pouvant être utilisé comme porte dérobée par toute
+application installée sur un ordinateur sous Windows</a>, mais cette
+fonctionnalité a été <a
+href="https://www.rockpapershotgun.com/2016/09/24/street-fighter-v-removes-new-anti-crack">immédiatement
+retirée</a> en réponse au tollé général.</p>
+ </li>
- <p>Bien que l'article décrive des jeux gratuits, les jeux payants
peuvent
-utiliser la même tactique.</p>
+ <li>
+ <p>Le modem câble ARRIS a une <a
+href="https://w00tsec.blogspot.de/2015/11/arris-cable-modem-has-backdoor-in.html?m=1">porte
+dérobée dans sa porte dérobée</a>.</p>
</li>
+
<li>
<p>Les ordinateurs Dell vendus avec Windows avaient un certificat racine
bidon
qui <a
@@ -186,251 +388,49 @@
à n'importe qui (pas seulement à Dell) d'autoriser à distance l'exécution
de
n'importe quel programme</a>.</p>
</li>
- <li>
- <p>La bibliothèque Android privatrice de Baidu (Moplus) a une porte
dérobée qui
-<a
-href="https://www.eff.org/deeplinks/2015/11/millions-android-devices-vulnerable-remote-hijacking-baidu-wrote-code-google-made">peut
-« uploader des fichiers » et aussi installer des applis de force</a>.</p>
- <p>Elle est utilisée par 14 000 applications Android.</p>
- </li>
-<li><p>Le modem câble ARRIS a une <a
-href="https://w00tsec.blogspot.de/2015/11/arris-cable-modem-has-backdoor-in.html?m=1">porte
-dérobée dans sa porte dérobée</a>.</p>
-</li>
- <li><p>Des véhicules de Caterpillar sont livrés avec <a
-href="http://www.zerohedge.com/news/2015-11-19/caterpillar-depression-has-never-been-worse-it-has-cunning-plan-how-deal-it">une
-porte dérobée permettant d'arrêter le moteur</a> à distance.</p>
- </li>
-<li><p>
-Pendant quatre ans, MacOS X a eu <a
+ <li>
+ <p>Pendant quatre ans, MacOS X a eu <a
href="https://truesecdev.wordpress.com/2015/04/09/hidden-backdoor-api-to-root-privileges-in-apple-os-x/">une
porte dérobée intentionnelle</a> qui pouvait être exploitée par des
attaquants pour obtenir les privilèges du superutilisateur
-<cite>root</cite>.
-</p></li>
-
-<li><p>Des utilisateurs ont rapporté que <a
-href="http://www.networkworld.com/article/2993490/windows/windows-10-upgrades-reportedly-appearing-as-mandatory-for-some-users.html#tk.rss_all">Microsoft
-les avait forcés à remplacer Windows 7 ou 8 par Windows 10, l'espion tous
-azimuths</a>.</p>
-
- <p>Microsoft <a
-href="http://www.computerworld.com/article/3012278/microsoft-windows/microsoft-sets-stage-for-massive-windows-10-upgrade-strategy.html">attaquait
-effectivement les ordinateurs sous Windows 7 et 8</a> en modifiant un
-drapeau indiquant si la « mise à niveau » vers Windows 10 devait être
faite,
-lorsque l'utilisateur avait coché « non ».</p>
-
- <p>Plus tard, Microsoft a publié des instructions sur <a
-href="http://arstechnica.com/information-technology/2016/01/microsoft-finally-has-a-proper-way-to-opt-out-of-windows-78-to-windows-10-upgrades/">la
-manière de refuser définitivement la régression vers Windows 10</a>.</p>
-
- <p>Il semble que cela se fasse au moyen d'une porte dérobée dans Windows
7
-et 8.</p>
-</li>
-
-<li>
-<p><a
-href="http://www.theguardian.com/technology/2014/dec/18/chinese-android-phones-coolpad-hacker-backdoor">Une
-version chinoise d'Android a une porte dérobée universelle</a>. Presque tous
-les modèles de téléphones mobiles ont une porte dérobée universelle sur la
-puce modem. Alors, pourquoi Coolpad se donnerait-il la peine d'en introduire
-une autre ? Parce que celle-ci est sous son contrôle.
-</p>
-</li>
+<cite>root</cite>.</p>
+ </li>
-<li>
-<p>Microsoft Windows a une porte dérobée universelle qui permet <a
-href="https://web.archive.org/web/20071011010707/http://informationweek.com/news/showArticle.jhtml?articleID=201806263">d'imposer
-n'importe quel changement aux utilisateurs</a>.
-</p>
-<p>Plus d'information sur le moment où <a
-href="http://slated.org/windows_by_stealth_the_updates_you_dont_want">elle a
-été utilisée</a>.
-</p>
-<p>Dans Windows 10, la porte dérobée universelle n'est plus cachée ; les
-« mises à jour » seront <a
-href="http://arstechnica.com/information-technology/2015/07/windows-10-updates-to-be-automatic-and-mandatory-for-home-users/">imposées
-immédiatement, de force</a>.
-</p>
-</li>
+ <li>
+ <p>Voici un gros problème dont les détails sont encore secrets : <a
+href="http://mashable.com/2013/09/11/fbi-microsoft-bitlocker-backdoor/">le
+FBI demande à de nombreuses entreprises de mettre des portes dérobées dans
+des programmes privateurs.</a> Nous ne connaissons pas de cas précis, mais
+chacun des programmes privateurs de chiffrement est un candidat possible.</p>
+ </li>
-<li><p>Le gouvernement allemand <a
+ <li>
+ <p>Le gouvernement allemand <a
href="https://web.archive.org/web/20160310201616/http://drleonardcoldwell.com/2013/08/23/leaked-german-government-warns-key-entities-not-to-use-windows-8-linked-to-nsa/">se
détourne des ordinateurs sous Windows 8 munis de la puce TPM 2.0 parce que
cette puce permet de créer des portes dérobées</a>.</p>
-</li>
-
-<li>
-<p>L'iPhone a une porte dérobée <a
-href="http://www.telegraph.co.uk/technology/3358134/Apples-Jobs-confirms-iPhone-kill-switch.html">qui
-permet à Apple d'effacer à distance les applications</a> qu'elle estime
-« inappropriées ». D'après ce que disait Jobs, il est acceptable qu'Apple
-possède ce pouvoir, car naturellement nous pouvons lui faire confiance.
-</p>
-</li>
-
-<li>
-<p>L'iPhone a une porte dérobée pour <a
-href="http://www.npr.org/2010/11/22/131511381/wipeout-when-your-company-kills-your-iphone">l'effacement
-complet à distance</a>. Elle n'est pas activée en permanence, mais les
-utilisateurs sont amenés à l'activer sans comprendre ce que cela implique.
-</p>
-</li>
-
-<li>
- <p>Apple peut â et elle le fait régulièrement â <a
-href="http://arstechnica.com/apple/2014/05/new-guidelines-outline-what-iphone-data-apple-can-give-to-police/">extraire
-à distance certaines données des iPhones pour l'Ãtat</a>.
- </p>
- <p>Il y a peut-être du progrès avec <a
-href="http://www.washingtonpost.com/business/technology/2014/09/17/2612af58-3ed2-11e4-b03f-de718edeb92f_story.html">iOS
-8, qui a une sécurité améliorée</a>, mais <a
-href="https://firstlook.org/theintercept/2014/09/22/apple-data/">pas autant
-que le prétend Apple</a>.</p>
</li>
+ <li>
+ <p>Voici une hypothèse que nous ne pouvons pas prouver, mais qui mérite
+réflexion : <a
+href="http://web.archive.org/web/20150206003913/http://www.afr.com/p/technology/intel_chips_could_be_nsa_key_to_ymrhS1HS1633gCWKt5tFtI">le
+microcode reprogrammable des microprocesseurs Intel et AMD</a> pourrait
+fournir à la NSA un moyen d'envahir les ordinateurs, disent des experts
+respectés en sécurité.</p>
+ </li>
-<li>
-<p><a
-href="http://www.computerworld.com/article/2500036/desktop-apps/microsoft--we-can-remotely-delete-windows-8-apps.html">De
-même, Windows 8 a une porte dérobée pour supprimer des applications Ã
-distance</a>.
-</p>
-
-<p>
-Vous pouvez parfaitement décider de laisser un service de sécurité en qui
-vous avez confiance <em>désactiver</em> les programmes qu'il considère comme
-malveillants. Mais il n'y a aucune excuse pour les <em>supprimer</em>, et
-vous devez avoir le droit de décider si vous voulez faire confiance Ã
-quelqu'un pour cela, et à qui.
-</p>
-</li>
-
-<li>
-<p>Dans Android, <a
-href="http://www.computerworld.com/article/2506557/security0/google-throws--kill-switch--on-android-phones.html">Google
-a une porte dérobée qui lui permet de supprimer des applications Ã
-distance</a> (elle est dans un programme appelé GTalkService qui semble,
-depuis la parution de cet article, avoir été intégré à Google Play).
-</p>
-
-<p>
-Google peut aussi <a
-href="https://jon.oberheide.org/blog/2010/06/25/remote-kill-and-install-on-google-android/">installer
-des applis, de force et à distance</a> au moyen de GTalkService. Ce n'est
-pas l'équivalent d'une porte dérobée universelle, mais cela rend possibles
-divers mauvais coups.
-</p>
-
-<p>
-Bien que <em>l'exercice</em> de ce pouvoir par Google n'ait pas été
-malfaisant jusqu'à présent, le fait est que personne ne doit posséder un tel
-pouvoir, car il pourrait aussi être utilisé de manière malfaisante. Vous
-pourriez parfaitement décider de laisser un service de sécurité
-<em>désactiver</em> à distance les programmes qu'il considère comme
-malveillants. Mais il n'y a aucune excuse pour les <em>supprimer</em>, et
-vous devez avoir le droit de décider à qui accorder une telle confiance (Ã
-supposer que vous l'accordiez à quelqu'un).
-</p>
-</li>
-
-<li>
-<p><a id="samsung"
-href="https://www.fsf.org/blogs/community/replicant-developers-find-and-close-samsung-galaxy-backdoor">Les
-Galaxy de Samsung qui tournent sous des versions privatrices d'Android sont
-livrés avec une porte dérobée</a> qui permet l'accès à distance aux
fichiers
-stockés dans l'appareil.
-</p>
-</li>
-
-<li>
-<p>Le Kindle-Swindle d'Amazon a une porte dérobée qui a servi à <a
-href="http://pogue.blogs.nytimes.com/2009/07/17/some-e-books-are-more-equal-than-others/">effacer
-des livres à distance</a>. Un de ces livres était <cite>1984</cite>, de
-George Orwell.
-</p>
-
-<p>Amazon a répondu aux critiques en disant qu'elle n'effacerait des livres
que
-sur ordre de l'Ãtat. Cependant, cette politique n'a pas duré. En 2012 elle a
-<a
-href="http://boingboing.net/2012/10/22/kindle-user-claims-amazon-dele.html">complètement
-effacé le Kindle-Swindle d'une utilisatrice et supprimé son compte</a>, puis
-lui a donné des « explications » kafkaïennes.
-</p>
-
-<p>Le Kindle-Swindle a aussi une <a
-href="http://www.amazon.com/gp/help/customer/display.html?nodeId=200774090">porte
-dérobée universelle</a>.
-</p>
-
-<p>Est-ce que les autres liseuses ont des portes dérobées dans leurs
-logiciels ? Nous n'en savons rien et n'avons aucun moyen de le
-découvrir. Rien ne nous laisse supposer qu'elles n'en ont pas.
-</p>
-</li>
-
-<li>
-<p>Les équipements de stockage <cite>[storage appliances]</cite> de HP qui
+ <li>
+ <p>Les équipements de stockage <cite>[storage appliances]</cite> de HP qui
utilisent le système d'exploitation privateur « Left Hand » ont des portes
dérobées qui autorisent HP <a
href="https://insights.dice.com/2013/07/11/hp-keeps-installing-secret-backdoors-in-enterprise-storage/">Ã
s'y connecter à distance</a>. HP prétend que cela ne lui donne pas accès aux
données de l'utilisateur, mais si la porte dérobée permettait l'installation
de logiciels modifiés, il serait possible d'installer une modification qui
-lui donnerait cet accès.
-</p>
-</li>
-
-<li>
-<p><a
-href="http://www.itworld.com/article/2705284/data-protection/backdoor-found-in-d-link-router-firmware-code.html">Certains
-routeurs D-Link</a> ont une porte dérobée pour changer les réglages.
-</p>
-
-<p>
-<a href="https://github.com/elvanderb/TCP-32764">De nombreux modèles de
-routeurs ont des portes dérobées</a>.</p>
-</li>
-
-<li>
-<p><a href="http://sekurak.pl/tp-link-httptftp-backdoor/">Le routeur TP-Link a
-une porte dérobée</a>.</p>
-</li>
-
-<li>
-<p><a
-href="http://www.techienews.co.uk/973462/bitcoin-miners-bundled-pups-legitimate-applications-backed-eula/">Certaines
-applications sont associées à MyFreeProxy, qui est une porte dérobée
-universelle capable de télécharger des programmes et de les exécuter</a>.
-</p>
-</li>
-</ul>
-
-<p>Voici un gros problème dont les détails sont encore secrets.</p>
-
-<ul>
-<li>
-<p><a
-href="http://mashable.com/2013/09/11/fbi-microsoft-bitlocker-backdoor/">Le
-FBI demande à de nombreuses entreprises de mettre des portes dérobées dans
-des programmes privateurs.</a> Nous ne connaissons pas de cas précis, mais
-chacun des programmes privateurs de chiffrement est un candidat possible.</p>
-</li>
-</ul>
-
-<p>Voici une hypothèse que nous ne pouvons pas prouver, mais qui mérite
-réflexion.</p>
-
-<ul>
-<li>
-<p><a
-href="http://web.archive.org/web/20150206003913/http://www.afr.com/p/technology/intel_chips_could_be_nsa_key_to_ymrhS1HS1633gCWKt5tFtI">Le
-microcode reprogrammable des microprocesseurs Intel et AMD</a> pourrait
-fournir à la NSA un moyen d'envahir les ordinateurs, disent des experts en
-sécurité respectés.
-</p>
-</li>
+lui donnerait cet accès.</p>
+ </li>
</ul>
<p>L'EFF donne d'autres exemples de <a
@@ -498,7 +498,7 @@
<p class="unprintable"><!-- timestamp start -->
Dernière mise à jour :
-$Date: 2018/02/12 13:37:46 $
+$Date: 2018/02/24 14:30:23 $
<!-- timestamp end -->
</p>
Index: po/proprietary-back-doors.fr-en.html
===================================================================
RCS file: /web/www/www/proprietary/po/proprietary-back-doors.fr-en.html,v
retrieving revision 1.40
retrieving revision 1.41
diff -u -b -r1.40 -r1.41
--- po/proprietary-back-doors.fr-en.html 12 Feb 2018 13:37:46 -0000
1.40
+++ po/proprietary-back-doors.fr-en.html 24 Feb 2018 14:30:24 -0000
1.41
@@ -14,391 +14,407 @@
basic injustice</a>. The developers often exercise that power to the
detriment of the users they ought to serve.</p>
-<p>Here are examples of demonstrated back doors in proprietary software.</p>
+<p>Here are examples of demonstrated back doors in proprietary software.
+They are sorted out according to what they are known to allow. Back doors
+that allow full control over the operating system are said to be
+“universal”.</p>
+
+<p class="c">
+ <a href="#spy">Spying</a> |
+ <a href="#alter-data">Altering user's data/settings</a> |
+ <a href="#install-delete">Installing/deleting programs</a> |
+ <a href="#universal">Full control</a> |
+ <a href="#other">Other/undefined</a>
+</p>
<!-- WEBMASTERS: make sure to place new items on top under each subsection -->
-<ul>
- <li>
- <p>ChromeOS has a universal back door. At least, Google says
- it does—in <a
-href="https://www.google.com/intl/en/chromebook/termsofservice.html">
- section 4 of the EULA</a>.</p>
- </li>
-
- <li>
- <p>The Furby Connect has a <a
-href="https://www.contextis.com/blog/dont-feed-them-after-midnight-reverse-engineering-the-furby-connect">
- universal back door</a>. If the product as shipped doesn't act as a
- listening device, remote changes to the code could surely convert it into
one.</p>
- </li>
-
- <li>
- <p>Sony has brought back its robotic pet Aibo, this time <a
-href="https://motherboard.vice.com/en_us/article/bj778v/sony-wants-to-sell-you-a-subscription-to-a-robot-dog-aibo-90s-pet">
- with a universal back door, and tethered to a server that requires a
- subscription</a>.</p>
- </li>
- <li>
- <p>Tesla cars have a <a
href="https://techcrunch.com/2017/09/09/tesla-flips-a-switch-to-increase-the-range-of-some-cars-in-florida-to-help-people-evacuate/">universal
back door</a>.</p>
-
- <p>While remotely allowing car “owners” to use the whole
battery
- capacity did not do them any harm, the same back door would permit
- Tesla (perhaps under the command of some government) to remotely order
- the car to use none of its battery. Or perhaps to drive its passenger
- to a torture prison.</p>
- </li>
+<h3 id="spy">Spying</h3>
+<ul>
<li>
<p id="InternetCameraBackDoor">Many models of Internet-connected
- cameras contain a glaring backdoor—they have login accounts
+ cameras contain a glaring back door—they have login accounts
with hard-coded passwords, which can't be changed, and <a
href="https://arstechnica.com/security/2017/06/internet-cameras-expose-private-video-feeds-and-remote-controls/">
- there is no way to delete these accounts either</a>.
- </p>
-
+ there is no way to delete these accounts either</a>.</p>
<p>Since these accounts with hard-coded passwords are impossible to
delete, this problem is not merely an insecurity; it amounts to a
- backdoor that can be used by the manufacturer (and government) to
+ back door that can be used by the manufacturer (and government) to
spy on users.</p>
</li>
<li>
- <p>Vizio “smart”
- TVs <a
href="https://www.ftc.gov/news-events/blogs/business-blog/2017/02/what-vizio-was-doing-behind-tv-screen">have
- a universal back door</a>.</p>
+ <p>WhatsApp <a
+
href="https://www.theguardian.com/technology/2017/jan/13/whatsapp-backdoor-allows-snooping-on-encrypted-messages">
+ has a back door that the company can use to read the plaintext
+ of messages</a>.</p>
+ <p>This should not come as a surprise. Nonfree software for
+ encryption is never trustworthy.</p>
</li>
- <li><p>The Amazon Echo appears to have a universal back door, since
- <a href="https://en.wikipedia.org/wiki/Amazon_Echo#Software_updates">
- it installs “updates” automatically</a>.</p>
- <p>We have found nothing explicitly documenting the lack of any way to
- disable remote changes to the software, so we are not completely sure
- there isn't one, but it seems pretty clear.</p>
+ <li>
+ <p><a
href="https://theintercept.com/2015/12/28/recently-bought-a-windows-computer-microsoft-probably-has-your-encryption-key/">
+ Microsoft has already backdoored its disk encryption</a>.</p>
</li>
- <li id="chrome-erase-addons"><p>Chrome has a back door <a
href="https://consumerist.com/2017/01/18/why-is-google-blocking-this-ad-blocker-on-chrome/">for
- remote erasure of add-ons</a>.</p>
+ <li>
+ <p>Apple can, and regularly does, <a
+
href="http://arstechnica.com/apple/2014/05/new-guidelines-outline-what-iphone-data-apple-can-give-to-police/">
+ remotely extract some data from iPhones for the state</a>.</p>
+ <p>This may have improved with <a
+
href="http://www.washingtonpost.com/business/technology/2014/09/17/2612af58-3ed2-11e4-b03f-de718edeb92f_story.html">
+ iOS 8 security improvements</a>; but <a
+ href="https://firstlook.org/theintercept/2014/09/22/apple-data/">
+ not as much as Apple claims</a>.</p>
</li>
+</ul>
- <li>
- <p>WhatsApp <a
href="https://www.theguardian.com/technology/2017/jan/13/whatsapp-backdoor-allows-snooping-on-encrypted-messages">has
- a back door that the company can use to read the plaintext
- of messages</a>.</p>
+<h3 id="alter-data">Altering user's data or settings</h3>
- <p>This should not come as a surprise. Nonfree software for
- encryption is never trustworthy.</p>
+<ul>
+ <li id="chrome-erase-addons">
+ <p>Chrome has a back door <a
+
href="https://consumerist.com/2017/01/18/why-is-google-blocking-this-ad-blocker-on-chrome/">
+ for remote erasure of add-ons</a>.</p>
</li>
- <li><p>A pregnancy test controller application not only
- can <a
href="http://www.theverge.com/2016/4/25/11503718/first-response-pregnancy-pro-test-bluetooth-app-security">spy
- on many sorts of data in the phone, and in server accounts, it can
- alter them too</a>.</p>
+ <li>
+ <p>A pregnancy test controller application not only can <a
+
href="http://www.theverge.com/2016/4/25/11503718/first-response-pregnancy-pro-test-bluetooth-app-security">
+ spy on many sorts of data in the phone, and in server accounts, it
+ can alter them too</a>.</p>
</li>
<li>
- <p>Xiaomi phones come with <a
href="https://www.thijsbroenink.com/2016/09/xiaomis-analytics-app-reverse-engineered">a
- universal back door in the application processor, for
- Xiaomi's use</a>.</p>
-
- <p>This is separate from <a href="#universal-back-door-phone-modem">the
- universal back door in the modem processor that the local
- phone company can use</a>.</p>
+ <p>The Dropbox app for Macintosh <a
+
href="http://applehelpwriter.com/2016/07/28/revealing-dropboxs-dirty-little-security-hack/">
+ takes control of user interface items after luring the user into
+ entering an admin password</a>.</p>
</li>
- <li><p>Capcom's Street Fighter V update <a
href="https://web.archive.org/web/20160930051146/http://www.theregister.co.uk/2016/09/23/capcom_street_fighter_v/">installed
- a driver that can be used as a backdoor by any application
- installed on a Windows computer</a>.</p>
- </li>
-
- <li><p>The Dropbox app for Macintosh <a
href="http://applehelpwriter.com/2016/07/28/revealing-dropboxs-dirty-little-security-hack/">takes
- total control of the machine by repeatedly nagging the user
- for an admini password</a>.</p>
- </li>
- <li><p id="universal-back-door">Almost every phone's communication processor
has
- a universal back door which
- is <a
href="https://www.schneier.com/blog/archives/2006/12/remotely_eavesd_1.html">
- often used to make a phone transmit all conversations it
- hears</a>.</p>
- <p>The back
- door <a
href="http://www.osnews.com/story/27416/The_second_operating_system_hiding_in_every_mobile_phone">
- may take the form of bugs that have gone 20 years unfixed</a>.
- The choice to leave the security holes in place is morally
- equivalent to writing a back door.</p>
- <p>The back door is in the “modem processor”, whose
- job is to communicate with the radio network. In most phones,
- the modem processor controls the microphone. In most phones it
- has the power to rewrite the software for the main processor
- too.</p>
- <p>A few phone models are specially designed so that the modem
- processor does not control the microphone, and so that it can't
- change the software in the main processor. They still have the
- back door, but at least it is unable to turn the phone unto a
- listening device.</p>
- <p>The universal back door is apparently also used to make phones
- <a
href="http://www.slate.com/blogs/future_tense/2013/07/22/nsa_can_reportedly_track_cellphones_even_when_they_re_turned_off.html">
- transmit even when they are turned off</a>. This means their movements
- are tracked, and may also make the listening feature work.</p>
+ <li>
+ <p>Users reported that <a
+
href="http://www.networkworld.com/article/2993490/windows/windows-10-upgrades-reportedly-appearing-as-mandatory-for-some-users.html#tk.rss_all">
+ Microsoft was forcing them to replace Windows 7 and 8 with all-spying
+ Windows 10</a>.</p>
+ <p>Microsoft was in fact <a
+
href="http://www.computerworld.com/article/3012278/microsoft-windows/microsoft-sets-stage-for-massive-windows-10-upgrade-strategy.html">
+ attacking computers that run Windows 7 and 8</a>, switching on a flag
+ that said whether to “upgrade” to Windows 10 when users
+ had turned it off.</p>
+ <p>Later on, Microsoft published instructions on <a
+
href="http://arstechnica.com/information-technology/2016/01/microsoft-finally-has-a-proper-way-to-opt-out-of-windows-78-to-windows-10-upgrades/">
+ how to permanently reject the downgrade to Windows 10</a>.</p>
+ <p>This seems to involve use of a back door in Windows 7 and 8.</p>
</li>
- <li><p><a
href="https://theintercept.com/2015/12/28/recently-bought-a-windows-computer-microsoft-probably-has-your-encryption-key/">
- Microsoft has already backdoored its disk encryption</a>.</p></li>
+ <li>
+ <p>Caterpillar vehicles come with <a
+
href="http://www.zerohedge.com/news/2015-11-19/caterpillar-depression-has-never-been-worse-it-has-cunning-plan-how-deal-it">
+ a back door to shutoff the engine</a> remotely.</p>
+ </li>
- <li><p>Modern gratis game cr…apps
+ <li>
+ <p>Modern gratis game cr…apps
<a
href="http://toucharcade.com/2015/09/16/we-own-you-confessions-of-a-free-to-play-producer/">
collect a wide range of data about their users and their users'
friends and associates</a>.</p>
-
<p>Even nastier, they do it through ad networks that merge the data
collected by various cr…apps and sites made by different
companies.</p>
-
<p>They use this data to manipulate people to buy things, and hunt
for “whales” who can be led to spend a lot of money. They
also use a back door to manipulate the game play for specific
players.</p>
-
<p>While the article describes gratis games, games that cost money
can use the same tactics.</p>
</li>
+
<li>
- <p>Dell computers, shipped with Windows, had a bogus root
- certificate that
- <a
href="http://fossforce.com/2015/11/dell-comcast-intel-who-knows-who-else-are-out-to-get-you/">allowed
- anyone (not just Dell) to remotely authorize any software to
- run</a> on the computer.</p>
+ <p><a id="samsung"
+
href="https://www.fsf.org/blogs/community/replicant-developers-find-and-close-samsung-galaxy-backdoor">
+ Samsung Galaxy devices running proprietary Android versions come with
+ a back door</a> that provides remote access to the files stored on
+ the device.</p>
</li>
+
<li>
- <p>Baidu's proprietary Android library, Moplus, has a back door
- that <a
href="https://www.eff.org/deeplinks/2015/11/millions-android-devices-vulnerable-remote-hijacking-baidu-wrote-code-google-made">can
- “upload files” as well as forcibly install
- apps</a>.</p>
- <p>It is used by 14,000 Android applications.</p>
+ <p><a
href="http://www.itworld.com/article/2705284/data-protection/backdoor-found-in-d-link-router-firmware-code.html">
+ Some D-Link routers</a> have a back door for changing settings in a
+ dlink of an eye.</p>
+ <p><a href="http://sekurak.pl/tp-link-httptftp-backdoor/">
+ The TP-Link router has a back door</a>.</p>
+ <p><a href="https://github.com/elvanderb/TCP-32764">Many models of routers
+ have back doors</a>.</p>
+ </li>
+
+ <li id="swindle-eraser">
+ <p>The Amazon Kindle-Swindle has a back door that has been used to <a
+
href="http://pogue.blogs.nytimes.com/2009/07/17/some-e-books-are-more-equal-than-others/">
+ remotely erase books</a>. One of the books erased was 1984, by George
+ Orwell.</p>
+ <p>Amazon responded to criticism by saying it would delete books only
+ following orders from the state. However, that policy didn't last.
+ In 2012 it <a
+
href="http://boingboing.net/2012/10/22/kindle-user-claims-amazon-dele.html">
+ wiped a user's Kindle-Swindle and deleted her account</a>, then
+ offered her kafkaesque “explanations.”</p>
+ <p>Do other ebook readers have back doors in their nonfree software?
+ We don't know, and we have no way to find out. There is no reason
+ to assume that they don't.</p>
</li>
-<li><p>ARRIS cable modem has a
- <a
href="https://w00tsec.blogspot.de/2015/11/arris-cable-modem-has-backdoor-in.html?m=1">
- backdoor in the backdoor</a>.</p>
-</li>
- <li><p>Caterpillar vehicles come with
- <a
href="http://www.zerohedge.com/news/2015-11-19/caterpillar-depression-has-never-been-worse-it-has-cunning-plan-how-deal-it">a
back-door to shutoff the engine</a>
- remotely.</p>
- </li>
-<li><p>
-Mac OS X had an <a
href="https://truesecdev.wordpress.com/2015/04/09/hidden-backdoor-api-to-root-privileges-in-apple-os-x/">
-intentional local back door for 4 years</a>.
-</p></li>
+ <li>
+ <p>The iPhone has a back door for <a
+
href="http://www.npr.org/2010/11/22/131511381/wipeout-when-your-company-kills-your-iphone">
+ remote wipe</a>. It's not always enabled, but users are led into
+ enabling it without understanding.</p>
+ </li>
+</ul>
-<li><p>Users reported that <a
-
href="http://www.networkworld.com/article/2993490/windows/windows-10-upgrades-reportedly-appearing-as-mandatory-for-some-users.html#tk.rss_all">
- Microsoft was forcing them to replace Windows 7 and 8 with all-spying
- Windows 10</a>.</p>
+<h3 id="install-delete">Installing or deleting programs</h3>
- <p>Microsoft was in fact <a
-
href="http://www.computerworld.com/article/3012278/microsoft-windows/microsoft-sets-stage-for-massive-windows-10-upgrade-strategy.html">
- attacking computers that run Windows 7 and 8</a>, switching on a flag
- that said whether to “upgrade” to Windows 10 when users
- had turned it off.</p>
+<ul>
+ <li>
+ <p>Baidu's proprietary Android library, Moplus, has a back door that <a
+
href="https://www.eff.org/deeplinks/2015/11/millions-android-devices-vulnerable-remote-hijacking-baidu-wrote-code-google-made">
+ can “upload files” as well as forcibly install apps</a>.</p>
+ <p>It is used by 14,000 Android applications.</p>
+ </li>
- <p>Later on, Microsoft published instructions on <a
-
href="http://arstechnica.com/information-technology/2016/01/microsoft-finally-has-a-proper-way-to-opt-out-of-windows-78-to-windows-10-upgrades/">
- how to permanently reject the downgrade to Windows 10</a>.</p>
+ <li>
+ <p>In Android, <a
+
href="http://www.computerworld.com/article/2506557/security0/google-throws--kill-switch--on-android-phones.html">
+ Google has a back door to remotely delete apps.</a> (It was in a
+ program called GTalkService, which seems since then to have been
+ merged into Google Play.)</p>
+ <p>Google can also <a
+
href="https://jon.oberheide.org/blog/2010/06/25/remote-kill-and-install-on-google-android/">
+ forcibly and remotely install apps</a> through GTalkService.
+ This is not equivalent to a universal back door, but permits various
+ dirty tricks.</p>
+ <p>Although Google's <em>exercise</em> of this power has not been
+ malicious so far, the point is that nobody should have such power,
+ which could also be used maliciously. You might well decide to let a
+ security service remotely <em>deactivate</em> programs that it
+ considers malicious. But there is no excuse for allowing it
+ to <em>delete</em> the programs, and you should have the right to
+ decide who (if anyone) to trust in this way.</p>
+ </li>
- <p>This seems to involve use of a back door in Windows 7 and 8.</p>
-</li>
+ <li>
+ <p><a
href="http://www.computerworld.com/article/2500036/desktop-apps/microsoft--we-can-remotely-delete-windows-8-apps.html">
+ Windows 8 also has a back door for remotely deleting apps</a>.</p>
+ <p>You might well decide to let a security service that you trust
+ remotely <em>deactivate</em> programs that it considers malicious.
+ But there is no excuse for <em>deleting</em> the programs, and you
+ should have the right to decide whom (if anyone) to trust in this
+ way.</p>
+ </li>
-<li>
-<p><a
href="http://www.theguardian.com/technology/2014/dec/18/chinese-android-phones-coolpad-hacker-backdoor">
-A Chinese version of Android has a universal back door</a>. Nearly all
-models of mobile phones have a universal back door in the modem chip. So
-why did Coolpad bother to introduce another? Because this one is controlled
-by Coolpad.
-</p>
-</li>
+ <li>
+ <p>The iPhone has a back door <a
+
href="http://www.telegraph.co.uk/technology/3358134/Apples-Jobs-confirms-iPhone-kill-switch.html">
+ that allows Apple to remotely delete apps</a> which Apple considers
+ “inappropriate”. Jobs said it's OK for Apple to have this
+ power because of course we can trust Apple.</p>
+ </li>
+</ul>
-<li>
-<p>Microsoft Windows has a universal back door through which
-<a
href="https://web.archive.org/web/20071011010707/http://informationweek.com/news/showArticle.jhtml?articleID=201806263">
-any change whatsoever can be imposed on the users</a>.
-</p>
-<p>More information on when
-<a href="http://slated.org/windows_by_stealth_the_updates_you_dont_want">
-this was used</a>.
-</p>
-<p>In Windows 10, the universal back door is no longer hidden; all
-“upgrades” will
-be <a
href="http://arstechnica.com/information-technology/2015/07/windows-10-updates-to-be-automatic-and-mandatory-for-home-users/">forcibly
-and immediately imposed</a>.
-</p>
-</li>
-<li><p>German government <a
href="https://web.archive.org/web/20160310201616/http://drleonardcoldwell.com/2013/08/23/leaked-german-government-warns-key-entities-not-to-use-windows-8-linked-to-nsa/">veers
-away from Windows 8 computers with TPM 2.0 due to potential back
-door capabilities of the TPM 2.0 chip</a>.</p>
-</li>
-
-<li>
-<p>The iPhone has a back door
-<a
href="http://www.telegraph.co.uk/technology/3358134/Apples-Jobs-confirms-iPhone-kill-switch.html">
-that allows Apple to remotely delete apps</a> which Apple considers
-“inappropriate”. Jobs said it's ok for Apple to have this power
-because of course we can trust Apple.
-</p>
-</li>
+<h3 id="universal">Full control</h3>
-<li>
-<p>The iPhone has a back door for
-<a
href="http://www.npr.org/2010/11/22/131511381/wipeout-when-your-company-kills-your-iphone">
-remote wipe</a>. It's not always enabled, but users are led into enabling
-it without understanding.
-</p>
-</li>
+<ul>
+ <li>
+ <p>ChromeOS has a universal back door. At least, Google says
+ it does—in <a
+ href="https://www.google.com/intl/en/chromebook/termsofservice.html">
+ section 4 of the EULA</a>.</p>
+ </li>
-<li>
- <p>Apple can, and regularly does,
- <a
href="http://arstechnica.com/apple/2014/05/new-guidelines-outline-what-iphone-data-apple-can-give-to-police/">
- remotely extract some data from iPhones for the state</a>.
- </p>
- <p>This may have improved with
- <a
href="http://www.washingtonpost.com/business/technology/2014/09/17/2612af58-3ed2-11e4-b03f-de718edeb92f_story.html">
- iOS 8 security improvements</a>; but
- <a href="https://firstlook.org/theintercept/2014/09/22/apple-data/">
- not as much as Apple claims</a>.</p>
+ <li>
+ <p>The Furby Connect has a <a
+
href="https://www.contextis.com/blog/dont-feed-them-after-midnight-reverse-engineering-the-furby-connect">
+ universal back door</a>. If the product as shipped doesn't act as a
+ listening device, remote changes to the code could surely convert it
+ into one.</p>
</li>
+ <li>
+ <p>Sony has brought back its robotic pet Aibo, this time <a
+
href="https://motherboard.vice.com/en_us/article/bj778v/sony-wants-to-sell-you-a-subscription-to-a-robot-dog-aibo-90s-pet">
+ with a universal back door, and tethered to a server that requires a
+ subscription</a>.</p>
+ </li>
-<li>
-<p><a
href="http://www.computerworld.com/article/2500036/desktop-apps/microsoft--we-can-remotely-delete-windows-8-apps.html">
-Windows 8 also has a back door for remotely deleting apps</a>.
-</p>
+ <li>
+ <p>Tesla cars have a <a
+
href="https://techcrunch.com/2017/09/09/tesla-flips-a-switch-to-increase-the-range-of-some-cars-in-florida-to-help-people-evacuate/">
+ universal back door</a>.</p>
+ <p>While remotely allowing car “owners” to use the whole
+ battery capacity did not do them any harm, the same back door would
+ permit Tesla (perhaps under the command of some government) to
+ remotely order the car to use none of its battery. Or perhaps to drive
+ its passenger to a torture prison.</p>
+ </li>
-<p>
-You might well decide to let a security service that you trust
-remotely <em>deactivate</em> programs that it considers malicious.
-But there is no excuse for <em>deleting</em> the programs, and you
-should have the right to decide who (if anyone) to trust in this way.
-</p>
-</li>
+ <li>
+ <p>Vizio “smart” TVs <a
+
href="https://www.ftc.gov/news-events/blogs/business-blog/2017/02/what-vizio-was-doing-behind-tv-screen">
+ have a universal back door</a>.</p>
+ </li>
-<li>
-<p>In Android,
-<a
href="http://www.computerworld.com/article/2506557/security0/google-throws--kill-switch--on-android-phones.html">
-Google has a back door to remotely delete apps.</a> (It was in a
-program called GTalkService, which seems since then to have been
-merged into Google Play.)
-</p>
+ <li>
+ <p>The Amazon Echo appears to have a universal back door, since <a
+ href="https://en.wikipedia.org/wiki/Amazon_Echo#Software_updates">
+ it installs “updates” automatically</a>.</p>
+ <p>We have found nothing explicitly documenting the lack of any way to
+ disable remote changes to the software, so we are not completely sure
+ there isn't one, but it seems pretty clear.</p>
+ </li>
-<p>
-Google can also
-<a
href="https://jon.oberheide.org/blog/2010/06/25/remote-kill-and-install-on-google-android/">
-forcibly and remotely install apps</a> through GTalkService.
-This is not equivalent to a universal back door, but permits various
-dirty tricks.
-</p>
+ <li>
+ <p>Xiaomi phones come with <a
+
href="https://www.thijsbroenink.com/2016/09/xiaomis-analytics-app-reverse-engineered">
+ a universal back door in the application processor, for
+ Xiaomi's use</a>.</p>
+ <p>This is separate from <a href="#universal-back-door-phone-modem">the
+ universal back door in the modem processor that the local
+ phone company can use</a>.</p>
+ </li>
-<p>
-Although Google's <em>exercise</em> of this power has not been
-malicious so far, the point is that nobody should have such power,
-which could also be used maliciously. You might well decide to let a
-security service remotely <em>deactivate</em> programs that it
-considers malicious. But there is no excuse for allowing it
-to <em>delete</em> the programs, and you should have the right to
-decide who (if anyone) to trust in this way.
-</p>
-</li>
+ <li>
+ <p>Microsoft Windows has a universal back door through which <a
+
href="https://web.archive.org/web/20071011010707/http://informationweek.com/news/showArticle.jhtml?articleID=201806263">
+ any change whatsoever can be imposed on the users</a>.</p>
+ <p>More information on when <a
+ href="http://slated.org/windows_by_stealth_the_updates_you_dont_want">
+ this was used</a>.</p>
+ <p>In Windows 10, the universal back door is no longer hidden; all
+ “upgrades” will be <a
+
href="http://arstechnica.com/information-technology/2015/07/windows-10-updates-to-be-automatic-and-mandatory-for-home-users/">
+ forcibly and immediately imposed</a>.</p>
+ </li>
-<li>
-<p><a id="samsung"
-href="https://www.fsf.org/blogs/community/replicant-developers-find-and-close-samsung-galaxy-backdoor">
-Samsung Galaxy devices running proprietary Android versions come with a back
-door</a> that provides remote access to the files stored on the device.
-</p>
-</li>
+ <li>
+ <p><a
href="http://www.theguardian.com/technology/2014/dec/18/chinese-android-phones-coolpad-hacker-backdoor">
+ A Chinese version of Android has a universal back door</a>. Nearly
+ all models of mobile phones have a <a href="#universal-back-door">
+ universal back door in the modem chip</a>. So why did Coolpad bother
+ to introduce another? Because this one is controlled by Coolpad.</p>
+ </li>
-<li>
-<p>The Amazon Kindle-Swindle has a back door that has been used to
-<a
href="http://pogue.blogs.nytimes.com/2009/07/17/some-e-books-are-more-equal-than-others/">
-remotely erase books</a>. One of the books erased was 1984, by George Orwell.
-</p>
+ <li>
+ <p><a
href="http://www.techienews.co.uk/973462/bitcoin-miners-bundled-pups-legitimate-applications-backed-eula/">
+ Some applications come with MyFreeProxy, which is a universal back door
+ that can download programs and run them.</a></p>
+ </li>
-<p>Amazon responded to criticism by saying it would delete books only
-following orders from the state. However, that policy didn't last.
-In 2012
-it <a
href="http://boingboing.net/2012/10/22/kindle-user-claims-amazon-dele.html">wiped
-a user's Kindle-Swindle and deleted her account</a>, then offered her
-kafkaesque “explanations.”
-</p>
+ <li>
+ <p id="universal-back-door">Almost every phone's communication
+ processor has a universal back door which is <a
+
href="https://www.schneier.com/blog/archives/2006/12/remotely_eavesd_1.html">
+ often used to make a phone transmit all conversations it hears</a>.</p>
+ <p>The back door <a
+
href="http://www.osnews.com/story/27416/The_second_operating_system_hiding_in_every_mobile_phone">
+ may take the form of bugs that have gone 20 years unfixed</a>.
+ The choice to leave the security holes in place is morally
+ equivalent to writing a back door.</p>
+ <p>The back door is in the “modem processor”, whose
+ job is to communicate with the radio network. In most phones,
+ the modem processor controls the microphone. In most phones it
+ has the power to rewrite the software for the main processor
+ too.</p>
+ <p>A few phone models are specially designed so that the modem
+ processor does not control the microphone, and so that it can't
+ change the software in the main processor. They still have the
+ back door, but at least it is unable to turn the phone unto a
+ listening device.</p>
+ <p>The universal back door is apparently also used to make phones <a
+
href="http://www.slate.com/blogs/future_tense/2013/07/22/nsa_can_reportedly_track_cellphones_even_when_they_re_turned_off.html">
+ transmit even when they are turned off</a>. This means their
+ movements are tracked, and may also make the listening feature
+ work.</p>
+ </li>
-<p>The Kindle-Swindle also has a
-<a href="http://www.amazon.com/gp/help/customer/display.html?nodeId=200774090">
-universal back door</a>.
-</p>
+ <li>
+ <p>In addition to its <a href="#swindle-eraser">book eraser</a>, the
+ Kindle-Swindle has a <a
+
href="http://www.amazon.com/gp/help/customer/display.html?nodeId=200774090">
+ universal back door</a>.</p>
+ </li>
+</ul>
-<p>Do other ebook readers have back doors in their nonfree software?
-We don't know, and we have no way to find out. There is no reason
-to assume that they don't.
-</p>
-</li>
+<h3 id="other">Other or undefined</h3>
-<li>
-<p>HP “storage appliances” that use the proprietary
-“Left Hand” operating system have back doors that give
-HP <a
href="https://insights.dice.com/2013/07/11/hp-keeps-installing-secret-backdoors-in-enterprise-storage/">
-remote login access</a> to them. HP claims that this does not give HP
-access to the customer's data, but if the back door allows installation of
-software changes, a change could be installed that would give access to the
-customer's data.
-</p>
-</li>
+<ul>
+ <li>
+ <p>A Capcom's Street Fighter V update <a
+ href="https://www.theregister.co.uk/2016/09/23/capcom_street_fighter_v/">
+ installed a driver that could be used as a back door by any
+ application installed on a Windows computer</a>, but was <a
+
href="https://www.rockpapershotgun.com/2016/09/24/street-fighter-v-removes-new-anti-crack">
+ immediately rolled back</a> in response to public outcry.</p>
+ </li>
-<li>
-<p><a
href="http://www.itworld.com/article/2705284/data-protection/backdoor-found-in-d-link-router-firmware-code.html">
-Some D-Link routers</a> have a back door for changing settings in a dlink
-of an eye.
-</p>
+ <li>
+ <p>ARRIS cable modem has a <a
+
href="https://w00tsec.blogspot.de/2015/11/arris-cable-modem-has-backdoor-in.html?m=1">
+ back door in the back door</a>.</p>
+ </li>
-<p>
-<a href="https://github.com/elvanderb/TCP-32764">Many models of router
-have back doors</a>.</p>
-</li>
-
-<li>
-<p><a href="http://sekurak.pl/tp-link-httptftp-backdoor/">
-The TP-Link router has a backdoor</a>.</p>
-</li>
-
-<li>
-<p><a
href="http://www.techienews.co.uk/973462/bitcoin-miners-bundled-pups-legitimate-applications-backed-eula/">
-Some applications come with MyFreeProxy, which is a universal back door
-that can download programs and run them.</a>
-</p>
-</li>
-</ul>
+ <li>
+ <p>Dell computers, shipped with Windows, had a bogus root certificate
+ that <a
+
href="http://fossforce.com/2015/11/dell-comcast-intel-who-knows-who-else-are-out-to-get-you/">
+ allowed anyone (not just Dell) to remotely authorize any software to
+ run</a> on the computer.</p>
+ </li>
-<p>Here is a big problem whose details are still secret.</p>
+ <li>
+ <p>Mac OS X had an <a
+
href="https://truesecdev.wordpress.com/2015/04/09/hidden-backdoor-api-to-root-privileges-in-apple-os-x/">
+ intentional local back door for 4 years</a>.</p>
+ </li>
-<ul>
-<li>
-<p><a href="http://mashable.com/2013/09/11/fbi-microsoft-bitlocker-backdoor/">
-The FBI asks lots of companies to put back doors in proprietary programs.
-</a> We don't know of specific cases where this was done, but every
-proprietary program for encryption is a possibility.</p>
-</li>
-</ul>
+ <li>
+ <p>Here is a big problem whose details are still secret: <a
+ href="http://mashable.com/2013/09/11/fbi-microsoft-bitlocker-backdoor/">
+ The FBI asks lots of companies to put back doors in proprietary
+ programs</a>. We don't know of specific cases where this was done,
+ but every proprietary program for encryption is a possibility.</p>
+ </li>
-<p>Here is a suspicion that we can't prove, but is worth thinking
-about.</p>
+ <li>
+ <p>German government <a
+
href="https://web.archive.org/web/20160310201616/http://drleonardcoldwell.com/2013/08/23/leaked-german-government-warns-key-entities-not-to-use-windows-8-linked-to-nsa/">
+ veers away from Windows 8 computers with TPM 2.0 due to potential back
+ door capabilities of the TPM 2.0 chip</a>.</p>
+ </li>
-<ul>
-<li>
-<p><a
href="http://web.archive.org/web/20150206003913/http://www.afr.com/p/technology/intel_chips_could_be_nsa_key_to_ymrhS1HS1633gCWKt5tFtI">
-Writable microcode for Intel and AMD microprocessors</a> may be a vehicle
-for the NSA to invade computers, with the help of Microsoft, say respected
-security experts.
-</p>
-</li>
+ <li>
+ <p>Here is a suspicion that we can't prove, but is worth thinking
+ about: <a
+
href="http://web.archive.org/web/20150206003913/http://www.afr.com/p/technology/intel_chips_could_be_nsa_key_to_ymrhS1HS1633gCWKt5tFtI">
+ Writable microcode for Intel and AMD microprocessors</a> may be a
+ vehicle for the NSA to invade computers, with the help of Microsoft,
+ say respected security experts.</p>
+ </li>
+
+ <li>
+ <p>HP “storage appliances” that use the proprietary
+ “Left Hand” operating system have back doors that give HP <a
+
href="https://insights.dice.com/2013/07/11/hp-keeps-installing-secret-backdoors-in-enterprise-storage/">
+ remote login access</a> to them. HP claims that this does not give HP
+ access to the customer's data, but if the back door allows
+ installation of software changes, a change could be installed that
+ would give access to the customer's data.</p>
+ </li>
</ul>
-<p>The EFF has other examples of the <a
href="https://www.eff.org/deeplinks/2015/02/who-really-owns-your-drones">use of
back doors</a>.</p>
+<p>The EFF has other examples of the <a
+href="https://www.eff.org/deeplinks/2015/02/who-really-owns-your-drones">
+use of back doors</a>.</p>
</div><!-- for id="content", starts in the include above -->
@@ -441,7 +457,7 @@
<p class="unprintable">Updated:
<!-- timestamp start -->
-$Date: 2018/02/12 13:37:46 $
+$Date: 2018/02/24 14:30:24 $
<!-- timestamp end -->
</p>
</div>
[Prev in Thread] |
Current Thread |
[Next in Thread] |
- www/proprietary proprietary-back-doors.fr.html ...,
GNUN <=