Tout logiciel est un objet de propriété intellectuelle. Selon la pratique du marché, de nombreux fabricants de logiciels se réservent la propriété exclusive du produit et n'offrent aux clients que la possibilité d'en utiliser une ou plusieurs copies. Ces subtilités juridiques et d'autres sont spécifiées dans des documents spéciaux - accords de licence.
Avec des informations sur la réglementation des droits et obligations des parties, elles peuvent inclure une exonération de responsabilité pour d'éventuels dommages ou pertes de profit de l'utilisateur final en raison d'un mauvais fonctionnement des programmes. En outre, ces documents peuvent contenir des exigences qui obligent les utilisateurs à fournir certaines données confidentielles, ainsi que d'autres conditions tout aussi importantes. Dans le même temps, pour commencer à travailler avec des applications, il est presque toujours nécessaire d'accepter ces conditions, même si elles sont controversées. Cependant, nous sommes tellement habitués au même type d'accords de licence pour les programmes informatiques que nous lisons rarement ces documents longs et ennuyeux. Presque toujours, les utilisateurs acceptent automatiquement toutes leurs dispositions, sans penser aux conséquences possibles.
Étonnamment, les accords de licence se retrouvent même dans les applications malveillantes. Tout d'abord, les auteurs de virus les composent directement pour les utilisateurs de chevaux de Troie et d'autres programmes dangereux. Dans ce cas, leurs clients connaissent le but de ces logiciels. Deuxièmement, des accords peuvent être conclus pour déguiser les chevaux de Troie en applications inoffensives afin de tromper les victimes potentielles ou d’éviter des problèmes avec la loi.
Qu'écrivent les auteurs de virus dans les accords de licence et que proposent les utilisateurs?
Les créateurs de chevaux de Troie et de logiciels douteux ne réinventent pas la roue. Ils rapportent exactement la même chose que les développeurs de programmes "normaux". Seule la formulation n'est parfois pas aussi soignée. Les clauses des accords peuvent différer selon l'imagination des auteurs de virus, mais en général elles sont standard. Ils précisent les conditions de prestation de service, les droits et obligations des parties, et dans des textes particulièrement «corrects» il peut même y avoir une clause de non-responsabilité. Tout est comme les développeurs d'applications juridiques.
Prenons un exemple de l'un de ces accords de licence. Il est conçu pour les acheteurs du cheval de Troie, que les cybercriminels vendent sur le marché noir.
Les auteurs de virus ont essayé de se dégager de toute responsabilité et, comme ils semblent apparemment éviter d'attirer l'attention des forces de l'ordre. Premièrement, dans l'accord, ils indiquent que toutes les informations qu'ils fournissent sont censées être fournies à titre informatif uniquement. Et cela malgré le fait qu'ils vendent des logiciels malveillants et ne les cachent pas. Deuxièmement, les auteurs du styliste affirment qu'ils n'appellent pas à une violation de la loi et ne sont pas responsables des actes de leurs clients. Cependant, la création d'un cheval de Troie et sa vente sont automatiquement soumises à l'
article 273 du Code pénal de la Fédération de Russie («Création, utilisation et distribution de programmes informatiques malveillants»). Par conséquent, peu importe comment ces auteurs de virus (et d'autres) jouent avec le libellé et les réponses officielles, ils ne pourront pas éviter les problèmes avec la loi.
Soit dit en passant, les spécialistes de la sécurité de l'information - chercheurs, participants à diverses conférences informatiques, etc. - se trouvent dans une situation similaire. La création de concepts de logiciels malveillants (PoC), d'exploits de démonstration et d'autres développements universitaires par eux viole également la loi du point de vue du droit pénal. Même si elles ont été faites à des fins de démonstration, d'enseignement ou de recherche.
Prenons un autre exemple. Il ne s'agit pas d'un accord de licence complet, mais d'un ensemble de règles du développeur d'un pack logiciel vendu sur des sites Internet souterrains.
Les compresseurs pour les fichiers exécutables sont courants. Entre autres, ils sont largement utilisés pour protéger contre la concurrence déloyale sur le marché des logiciels - anti-débogage et inversement. Cependant, il existe des instances créées pour contrer spécifiquement les antivirus. Comme les packers blancs, ils protègent également les programmes. Mais ces programmes ne sont en aucun cas inoffensifs, mais malveillants. Donc, dans le cas considéré.
L'auteur (ou les auteurs) du packer spécifié rapporte fièrement une diminution de l'efficacité de la détection par les antivirus lorsqu'il est utilisé, admettant en réalité une violation de la loi. En effet, selon le paragraphe 1 de l'article 273 déjà connu du Code pénal de la Fédération de Russie, la neutralisation des moyens de protection informatique est un délit. Et le packer qu'ils vendent est spécialement conçu pour la neutralisation non autorisée des antivirus - il leur cache du code malveillant.
Les développeurs du packer déclarent qu'ils ne sont pas responsables des actions de leurs clients. Mais il est peu probable qu'ils ne comprennent pas qu'en fin de compte, ce sont les auteurs de virus qui utiliseront leurs services.
Et voici des extraits d'un accord de licence plus élaboré. Il accompagne un cheval de Troie qui installe des logiciels inutiles et d'autres applications malveillantes sur des appareils infectés. Un détail important: toutes les victimes potentielles ne verront pas ce texte - il existe un accord uniquement pour certaines versions de chevaux de Troie qui sont distribuées via certains services partenaires.
Qu'est-ce qui est intéressant dans cet accord? Premièrement, il indique qu'en installant ce logiciel, l'utilisateur s'engage à administrer à distance son ordinateur. En fait, il permettra à des inconnus de faire quoi que ce soit. Il s'agit d'un vol potentiel de données confidentielles et d'argent, en utilisant le système comme serveur proxy, en envoyant du spam, etc.
Deuxièmement, l'utilisateur accepte de recevoir des mises à jour d'application qui, selon le texte de l'accord, peuvent être n'importe quoi. Sachant que la fonction principale du cheval de Troie est d'installer d'autres programmes malveillants et des logiciels inutiles, il est facile de deviner quelles «mises à jour» il va installer.
Comme pour les accords discutés précédemment, cela contient également une limitation de responsabilité standard. Mais, contrairement à la plupart des autres textes, la résiliation de la restriction est autorisée ici si elle est contraire à la législation du pays de l'utilisateur. Cependant, ces points n'ont aucun sens. Si les lois d'un pays imposent des sanctions pour la création et la distribution de logiciels malveillants, cela annulera par défaut tout avertissement formel.
En raison de la réglementation juridique et de l'attention croissante portée au marché des logiciels malveillants par les organismes d'application de la loi, de plus en plus de rédacteurs de virus prêtent attention aux problèmes juridiques. En conséquence, le nombre de chevaux de Troie et d'autres applications douteuses augmente, dont les auteurs leur fournissent des accords de licence ou des listes de règles d'utilisation de logiciels similaires. Et ces accords eux-mêmes contiennent de plus en plus de clauses qui, selon leurs auteurs, devraient protéger contre d'éventuelles accusations de violation de la loi. Néanmoins, si un programme particulier est malveillant, ni sa clause de non-responsabilité ni l’existence de conditions particulières dans les accords d’utilisation n’aideront ses auteurs à éviter les sanctions.
Il est conseillé aux utilisateurs de lire attentivement les textes des accords, surtout s'ils appartiennent à des programmes peu connus ou douteux. Cela peut aider à éviter des problèmes potentiels - par exemple, ne pas devenir victime d'escroqueries, ne pas devenir un distributeur involontaire de logiciels malveillants et économiser de l'argent.