Édito n° 12bis – SourceForge, fournisseur d’adwares

Publié initialement le 23 mai 2014 sur l’ancien site SPIP, et récupéré pour ma nouvelle Brève du 25 juin 2016.

Ma mésaventure récente avec SourceForge (voir l’édito n° 12) se confirme : le site monétise les produits libres et gratuits qu’on vient y chercher.
Ce n’est pourtant pas nouveau ; en fait cela date du rachat de SourceForge par Dice, une société américaine de gestion de l’emploi, en 2012, pour 20 Millions $. Dice n’est évidemment pas préoccupé par la philosophie et les valeurs du Libre, ce qui l’intéresse, c’est le retour sur investissement.

Wikipedia y fait allusion dans son article sur SourceForge, et cite notamment l’article de Clubic, qui développe davantage.
Le site Reddit en parlait début août 2013 : « Sourceforge starts using « enhanced » (adware) installers ».

L’article le plus intéressant, je l’ai trouvé sur Neosting : »Sourceforge. Vers la distribution de malwares dans l’open-source », article qui date du 4.08.2013 (note de juin 2015 : le lien est cassé et le site n’est plus accessible, dommage, mais on trouve encore des liens vers cet article dans seenthis ou Shaarli ). Et Developpez.com  en parlait aussi à propos du départ de Gimp de SourceForge à cause de sa politique d’adwares en novembre 2013.
Par contre, Filezilla semble accepter le deal, comme l’indique aussi l’article de noosting ci-dessus.

D’autres sites, notamment anglo-saxons, ont manifestement plus largement diffusé l’information qu’en France, et celle-ci m’avait échappé.

Ma mésaventure avec le téléchargement de Cubuntu s’explique donc par l’analyse (ci-dessus) de Neosting.net : un certain nombre de projets Libre/open source ont quitté le navire pour préserver leurs valeurs, comme Gimp, mais aussi par exemple toutes les distributions officielles d’Ubuntu, d’autres restent sur SourceForge pour gagner de l’argent par la pubilicité comme Filezilla ou Cubuntu.

Si vous ne voulez pas être victime de cette pratique commerciale surtout quand vous téléchargez un logiciel libre -ce qui est vraiment un comble- il y a deux solutions :
– le télécharger directement sur le site de l’éditeur, en sachant que si le site vous renvoie pour le faire sur SourceForge, c’est qu’il cherche à se rétribuer au passage, tout en prétendant défendre les principes GNU-Linux ; par ex. Filezilla peut être directement téléchargé sur le site de son auteur et sans adwares, même s’il a la faiblesse de le proposer sur le site de SourceForge, avec les adwares qui vont avec.
– installer Ghostery sur votre navigateur, et le laisser bloquer le « mouchard’ TrusTe Notice, dont j’ai pu constater par de multiples essais depuis mon Édito N° 12 que c’était lui qui déclenchait la fenêtre d’acceptation de cookies traceurs de SourceForge et des autres sites appartenant à Dice, notamment Slashdot.

Evitez de toutes façons d’accepter les cookies de SourceForge ou Slashdot, car cela déclenche une intervention dans votre navigateur : SourceForge se retrouve ainsi dans la Liste blanche de Ghostery, AdblockB+ ne filtre plus les pubs du site, et il y a enregistrement de votre IP qui vous empêche d’accéder au site autrement qu’en s’enregistrant. Et cela bien que mon navigateur (Firefox) est configuré pour effacer les traces de navigation et les cookies à sa fermeture. On a donc bien affaire à de l’IP tracking, et pas seulement à des cookies persistants.
Si je tape dans Firefox www.sourceforge.net (avec Ghostery actif, et TrusTe Notification bloqué) j’ai systématiquement cette page :

SourceforgeMalware

alors que je ne l’ai pas si je passe, par exemple, par Ixquick proxy, tout simplement parce que dans ce dernier cas je change d’IP (on peut utiliser aussi son VPN, si on en a un, ou tout simplement un autre navigateur « vierge »).

Même pour les logiciels libres, ça devient compliqué d’échapper à la pub et au tracking ! Sauf évidemment si vous avez une distri Linux et que vous téléchargez vos programmes par apt, synaptic, ou par la « logithèque » Ubuntu et ses équivalents dans les autres distributions. On est alors complètement tranquilles.

P.S. Depuis SourceForge s’est trouvé une autre astuce imparable pour forcer les utilisateurs à accepter son dispositif d’intrusion, en s’appuyant sur l’obligation nouvelle des sites de demander d’accepter leur politique de cookies avant d’entrer sur le site. Comme quoi l’enfer est pavé de bonnes intentions, surtout si le diable s’en mêle !