Le logiciel open source est génial. Vous avez le choix entre des milliers d'applications gratuites, vous permettant de choisir comment soutenir les développeurs. Certains demandent un don, d'autres affichent une publicité ponctuelle, etc. L'important est que les développeurs open source reçoivent au moins quelque chose en échange de leur travail.
Il y a aussi des inconvénients au développement open source. Par exemple, n'importe qui peut prendre votre travail, le cloner, modifier des détails subtils et republier comme si c'était le sien.
Que se passe-t-il dans ces cas ? Le développeur d'origine peut-il protéger son travail ? Le « développeur » frauduleux en subira-t-il les conséquences ?
VLC est l'un des meilleurs lecteurs multimédias du marché. Aimé par les utilisateurs de bureau et mobiles, VLC est un géant open source. Les téléchargements VLC s'élèvent à un nombre phénoménal de 2 495 411 000. C'est exact :plus de 2,4 milliards de téléchargements.
VideoLAN, l'équipe de développement derrière VLC, a récemment confirmé avoir refusé des dizaines de millions d'euros pour regrouper la publicité avec son logiciel.
La publicité dans une application open source n'est pas contre une licence gratuite (selon qui détient les droits d'auteur). Mais un idéal central de la plate-forme open source est de garder l'orientation du développement à l'abri des distractions ; pour de nombreux développeurs, cela signifie éviter les publicités qui génèrent des bénéfices pour d'autres entreprises. Cela ne veut pas dire qu'il n'y a pas de développeurs qui utilisent la publicité comme source de revenus.
VideoLAN, cependant, a depuis longtemps clairement indiqué que son produit ne comportera jamais de publicité. Alors imaginez leur surprise lorsqu'un clone Android financé par la publicité qui enfreint clairement la VLC GPL (licence publique générale) a grimpé entre cinq et dix millions de téléchargements, générant d'énormes profits pour son propriétaire frauduleux dans le processus.
L'application était disponible sur le Google Play Store, mais pendant une longue période, Google n'a rien fait. Ceci, malgré le fait que des milliers de personnes signalent les applications comme un clone et signalent le développeur comme malveillant.
Il y avait plusieurs clones VLC offensants, dont le pire était 321 Media Player. Bien qu'il s'agisse d'un clone direct contenant des publicités, l'application a obtenu une note de 4,5 sur plus de 100 000 avis. Un deuxième clone, Indian VLC Player, a enregistré plus de 500 000 téléchargements et une note tout aussi élevée (bien que moins de critiques).
Tout simplement, 321 Media Player a pris VLC, a ajouté un tas de publicités, a essayé de le dissimuler en utilisant l'icône Media Players Classics (un autre lecteur multimédia open source pour Windows) et n'a même pas tenté de créditer VideoLAN. S'adressant à Torrent Freak, le président de VideoLAN, Jean Baptiste Kempf, a confirmé que l'application de copie enfreint la licence VLC GPL.
"La version Android de VLC est sous licence GPLv3, ce qui nécessite que tout ce qui se trouve à l'intérieur de l'application soit open source et partage la source", explique Kempf. "Ce clone semble utiliser un composant publicitaire à source fermée (y en a-t-il qui sont open source ?), Ce qui est une violation claire de notre copyleft. De plus, ils ne semblent pas du tout partager la source, ce qui est également un infraction."
L'une des choses les plus surprenantes est le nombre de téléchargements accumulés par l'application Copycat. La communauté Android signale généralement rapidement les applications copiées et malveillantes, indiquant à Google qu'elles doivent être supprimées. Le processus semble s'être débloqué dans ce cas.
En fait, VideoLAN a déposé des plaintes DMCA "plusieurs fois", mais à chaque fois --- en raison du processus DMCA et de la politique de Google Play Store --- l'application de copie a pu être réactivée. Mais 321 Media Player n'est que la pointe de l'iceberg VLC-copycat. Dans un article sur le subreddit Android, Jean Baptiste Kempf répertorie 21 autres applications de copie financées par la publicité, ainsi qu'une option payante. (Depuis la publication de la publication, plusieurs applications imitatrices ont disparu, mais il en reste bien d'autres.)
Ce n'est pas un super look pour Google et le Google Play Store. Malheureusement, le Google Play Store regorge d'applications copiées. D'autre part, Google reconnaît qu'il s'agit d'un problème important et s'efforce de lutter contre les vagues d'imitateurs.
En 2016, Google a identifié et supprimé 210 000 applications. En 2017, ce nombre était de 700 000, soit une augmentation de 70 %. Et sur ces 700 000, quelque 250 000 étaient des applications imitatrices directes ou légèrement modifiées, "utilisant des caractères Unicode prêtant à confusion ou cachant des icônes d'application usurpant l'identité dans des paramètres régionaux différents", ou même en changeant de logo. Et tandis que les applications de copie VLC cherchent à tirer profit des revenus publicitaires, les applications de copie sont intrinsèquement dangereuses.
Il y a plus en jeu que les revenus publicitaires. Une application imitatrice est une source facile de code malveillant. Les utilisateurs peu méfiants téléchargent des applications sans vérifier si les détails du développeur, s'il y a des critiques "drapeau rouge", ou même si les numéros de téléchargement correspondent. Et si un utilisateur sort des pistes et utilise un magasin ou un site Web tiers non vérifié, les risques de tomber sur une application malveillante augmentent encore.
La suite de sécurité Play Protect de Google permet aux utilisateurs d'Android de repérer plus facilement les applications malveillantes. L'ouverture fait partie de l'attrait d'Android, mais c'est aussi ce qui en fait une cible facile pour les escrocs et les fournisseurs de logiciels malveillants. Comme le dit Lukas Stefanko, chercheur sur les logiciels malveillants chez ESET, "les attaquants essaient constamment de pénétrer les systèmes de sécurité [de Google]".
Mais pour la plupart, éviter les applications malveillantes nécessite des connaissances et de la diligence de l'utilisateur. Vérifiez les avis des utilisateurs. Croisez le nombre de téléchargements. Examinez le profil de développeur et vérifiez les autres applications du développeur (par exemple, le compte de développeur officiel de Microsoft Corporation comprend Word, Excel, Outlook, PowerPoint, etc.). Autorisez Google Play Protect à analyser périodiquement vos applications. Et rappelez-vous, si c'est trop beau pour être vrai, c'est probablement le cas; bien que certaines applications premium apparaissent parfois gratuitement, tout ce qui précède est toujours vrai.
Bien sûr, dans le cas de 321 Media Player, l'utilisation de cette liste est un peu délicate. À première vue, l'application a d'excellentes critiques, un nombre important de téléchargements et Google autorise l'inscription sur le Play Store. Mais en y regardant de plus près, les critiques négatives de l'application copieur alertaient principalement les utilisateurs sans méfiance quant au problème (qu'ils s'en soucient ou non, dans la situation spécifique, c'est une autre chose). Dans cet esprit, la vigilance est essentielle.
