Logiciels malveillants et indésirables

Google vérifie les sites Web pour s'assurer qu'ils n'hébergent pas de logiciels ou fichiers exécutables téléchargeables susceptibles de nuire à l'expérience utilisateur. Les logiciels malveillants et indésirables sont des logiciels binaires téléchargeables ou des applications qui s'exécutent sur un site Web et affectent les visiteurs de ce site. Pour découvrir la liste de tous les fichiers suspects hébergés sur votre site, consultez le rapport sur les problèmes de sécurité.

Qu'est-ce qu'un logiciel malveillant ?

Un logiciel malveillant est un logiciel ou une application mobile conçus spécialement pour endommager un ordinateur ou un appareil mobile, perturber le fonctionnement du programme qu'il ou elle exécute, ou nuire à ses utilisateurs. Les logiciels malveillants ont des comportements néfastes. Ils peuvent installer des logiciels sur l'ordinateur de l'internaute sans son consentement et installer des programmes dangereux tels que des virus. Les propriétaires de sites Web n'ont pas toujours conscience du caractère malveillant de certains fichiers téléchargeables et peuvent donc héberger ces fichiers binaires par inadvertance.

  • Pour découvrir comment Google protège les utilisateurs contre les téléchargements malveillants, consultez cet article sur notre blog consacré à la sécurité en ligne.
  • Pour vous familiariser avec nos critères de sécurité sur le Web, consultez le Règlement relatif aux logiciels indésirables.

Qu'est-ce qu'un logiciel indésirable ?

Un logiciel indésirable est un fichier exécutable ou une application mobile, dont le comportement trompeur ou inattendu affecte négativement l'expérience informatique, ou la navigation de l'internaute. Un logiciel malveillant peut, par exemple, modifier votre page d'accueil ou d'autres paramètres de votre navigateur de façon indésirable. Des applications malveillantes peuvent divulguer de manière incomplète des informations privées et personnelles.

Pour découvrir comment nous protégeons les internautes contre les logiciels indésirables, consultez cet article sur notre blog consacré à la sécurité en ligne.

Consignes

Assurez-vous de ne pas enfreindre le Règlement relatif aux logiciels indésirables et de suivre les consignes énoncées ici. Même si cette liste n'est pas exhaustive, ces comportements peuvent amener Google à afficher des avertissements destinés aux internautes qui tentent d'accéder à un site ou à une application, ou de télécharger un logiciel. Pour découvrir la liste de tous les fichiers suspects hébergés sur votre site, consultez le rapport sur les problèmes de sécurité.

Ne pas donner une fausse image de vous

  • Informez précisément les internautes de l'objectif et de l'intention d'un logiciel. Les utilisateurs doivent pouvoir télécharger le logiciel intentionnellement, avec une connaissance exacte des éléments téléchargés, en cliquant sur une annonce précise qui en informe explicitement l'internaute. Les annonces incitant l'internaute à télécharger le logiciel ne doivent pas être trompeuses ni inexactes. Voici des exemples de pratiques à éviter :
    • Les annonces qui ne contiennent que les mots "Télécharger" ou "Lire" sans indiquer le logiciel concerné
    • Un bouton "Lire" qui amène vers un téléchargement
    • Les annonces qui imitent l'interface du site Web de l'éditeur et qui prétendent offrir du contenu (comme un film), mais qui conduisent en réalité vers des logiciels sans aucun rapport
    • En savoir plus sur l'ingénierie sociale sur notre blog consacré à la sécurité en ligne
  • Agissez comme indiqué. Assurez-vous que votre programme indique clairement ses fonctionnalités et ses intentions. Si votre programme collecte des informations sur l'utilisateur ou introduit des annonces dans le navigateur d'un internaute, expliquez-le clairement et ne cherchez pas à minimiser de tels comportements.
  • Expliquez clairement à l'internaute les modifications apportées par votre logiciel au navigateur et au système. Permettez-lui d'examiner et d'approuver toutes les options d'installation ainsi que les modifications importantes. L'interface utilisateur principale de votre programme doit indiquer clairement les composants du binaire et leur fonctionnalité première. Le binaire doit permettre à l'internaute de passer facilement l'installation des composants complémentaires. Par exemple, si ces options sont masquées ou si leur texte est à peine visible, ils ne sont pas indiqués comme il se doit.
  • Faites bon usage des recommandations. N'utilisez pas les logos d'autres entreprises sans leur autorisation pour légitimer ou recommander un produit. N'utilisez pas les logos d'une administration sans autorisation.
  • N'effrayez pas l'internaute. Le logiciel ne doit pas mentir sur l'état de l'ordinateur de l'utilisateur, par exemple en prétendant que le système est dans un état de sécurité critique ou infecté par des virus. Le logiciel ne doit pas prétendre offrir un service (par exemple, "accélérer votre PC") qu'il ne peut fournir ou qu'il ne fournit pas. Par exemple, les programmes "gratuits" de nettoyage et d'optimisation d'ordinateurs ne doivent être présentés comme tels que si les services et les composants proposés ne nécessitent aucun paiement.

Consignes en matière de logiciels

  • Utilisez l'API Google Settings si votre programme modifie les paramètres de Chrome. Toute modification apportée aux paramètres de recherche par défaut, à la page de démarrage ou à la page "Nouvel onglet", doit s'effectuer par l'intermédiaire de l'API Chrome Settings Override. Elle implique l'utilisation d'une extension Chrome, ainsi qu'un flux d'installation d'extension conforme.
  • Autorisez les boîtes de dialogue du navigateur et du système d'exploitation pour alerter l'internaute le cas échéant. Ne supprimez pas les alertes du navigateur ou du système d'exploitation destinées à l'internaute, notamment celles qui signalent des changements relatifs au navigateur ou à l'OS.
  • Nous vous recommandons de signer votre code. Si l'absence de signature d'un binaire n'est pas une raison de le signaler comme logiciel indésirable, nous vous recommandons d'apposer une signature de code valide et confirmée sur vos programmes. Celle-ci doit être fournie par une autorité de signature de code, qui présente des informations vérifiables sur l'éditeur.
  • Ne nuisez pas aux mesures de sécurité et de protection fournies par les connexions TLS/SSL. Une application ne doit pas installer de certificat racine émanant d'une autorité de certification. Elle ne doit pas intercepter les connexions SSL/TLS, sauf si elle a été conçue pour permettre à des experts d'étudier ou de déboguer un logiciel. Pour en savoir plus, consultez l'article de blog Google sur la sécurité.
  • Protégez les informations sur l'utilisateur. Les logiciels, y compris les applications mobiles, doivent uniquement transmettre les informations privées sur l'utilisateur aux serveurs si elles sont liées à la fonctionnalité de l'application. Ces transmissions doivent être divulguées à l'utilisateur et chiffrées.
  • Ne causez pas de tort à l'internaute. Votre logiciel binaire doit respecter son environnement de navigation. Assurez-vous que vos binaires téléchargeables sont conformes aux règles communes suivantes :
    • N'empêchez pas la réinitialisation du navigateur. Renseignez-vous sur le bouton de réinitialisation des paramètres du navigateur de Chrome.
    • Ne contournez pas et ne supprimez pas non plus le contrôle de l'interface utilisateur du navigateur ou du système d'exploitation pour les modifications de paramètres. Votre programme doit avertir l'internaute des changements de paramètres du navigateur et lui permettre de les contrôler. Utilisez l'API des paramètres pour modifier les paramètres de Chrome (consultez cet article sur le blog de Chromium).
    • Utilisez une extension pour modifier les fonctionnalités de Google Chrome plutôt que de modifier le comportement du navigateur par d'autres moyens automatisés. Par exemple, votre programme ne doit pas utiliser de DLL (dynamically linked libraries) pour injecter des annonces dans le navigateur ou utiliser des proxys pour intercepter le trafic. Il ne doit pas recourir à un fournisseur de services en couche pour intercepter les actions des internautes et il ne doit pas non plus insérer une nouvelle interface utilisateur sur chaque page Web en corrigeant le logiciel binaire Chrome.
    • Les descriptions de votre produit et de vos composants ne doivent pas effrayer l'internaute, ni comporter de déclarations mensongères ou trompeuses. Ainsi, votre produit ne doit pas prétendre faussement que le système est dans un état de sécurité critique ou infecté par des virus. Les programmes tels que les nettoyeurs de registre ne doivent pas afficher de messages alarmants sur l'état de l'ordinateur ou de l'appareil de l'utilisateur ni prétendre pouvoir optimiser son ordinateur.
    • Faites en sorte que le processus de désinstallation soit simple, facile à trouver et non menaçant. Votre programme doit comporter des instructions claires pour permettre à l'internaute de rétablir les paramètres précédents de son navigateur et/ou de son système. Le programme de désinstallation doit supprimer tous les composants et ne pas tenter de dissuader l'internaute de poursuivre le processus de désinstallation (par exemple, en évoquant de potentiels effets négatifs sur le système ou la vie privée de ce dernier en cas de désinstallation).
  • Assurez-vous que les éventuels composants tiers de votre logiciel sont sûrs. Si votre logiciel regroupe d'autres composants, vous devez faire en sorte qu'aucun de ces éléments n'enfreigne les recommandations ci-dessus.

Consignes relatives à l'extension Chrome

  • Pour que les extensions soient conformes aux règles, l'utilisateur doit être informé de leurs fonctionnalités et elles doivent être installées dans Chrome. Les extensions doivent être hébergées sur le Chrome Web Store, désactivées par défaut et conformes aux Règles du Chrome Web Store (notamment au Règlement d'objectif unique). Les extensions installées à partir d'un programme doivent suivre le flux autorisé d'installation d'extensions Chrome, qui invite l'internaute à activer ces dernières dans Chrome. Les extensions ne doivent pas supprimer les boîtes de dialogue Chrome alertant l'internaute des changements de paramètres.
    Pop-up Chrome demandant l'accord de l'internaute pour installer une extension.
  • Indiquez aux internautes comment supprimer une extension Chrome. Pour que l'expérience utilisateur soit satisfaisante, lorsque l'utilisateur désinstalle un programme, tous les éléments installés en même temps que celui-ci doivent également être supprimés. Le flux de désinstallation doit comprendre des instructions expliquant à l'internaute comment désactiver et supprimer l'extension.
  • Si le logiciel binaire installe un module complémentaire sur le navigateur ou s'il en modifie les paramètres par défaut, il doit suivre le flux d'installation et l'API acceptés par le navigateur. Par exemple, si le logiciel binaire installe une extension Chrome, assurez-vous qu'elle est hébergée sur le Chrome Web Store et qu'elle est conforme au Règlement du programme pour les développeurs de Chrome. Votre logiciel binaire sera considéré comme malveillant s'il installe une extension Chrome sans respecter les règles Chrome en matière d'alternatives de distribution des extensions.

Consignes pour les applications mobiles

  • Informez les internautes de votre intention de recueillir leurs données. Donnez aux internautes l'occasion d'accepter la collecte de leurs données avant de commencer à les recueillir, notamment les données concernant les comptes tiers, les e-mails, les numéros de téléphone, les applications installées et les fichiers sur leur appareil mobile. Assurez-vous de gérer de manière sécurisée les données utilisateur sensibles ou à caractère personnel que vous collectez, y compris en les transmettant à l'aide d'une technologie de chiffrement moderne (HTTPS, par exemple). Pour les applications autres que Google Play, vous devez informer les utilisateurs de la collecte de données au sein de l'application. Pour les applications Google Play, la divulgation doit respecter le Règlement de Google Play. Ne recueillez pas de données hors du cadre d'utilisation publié de votre application.

  • N'usurpez pas l'identité d'une autre marque ou d'une autre application. N'utilisez ni images, ni graphismes inappropriés ou interdits, semblables à ceux d'une autre marque ou d'une autre application, d'une manière qui prêterait à confusion pour l'utilisateur.
  • Offrez un contenu qui reste dans le cadre de l'application. Les applications ne doivent pas interférer avec d'autres applications ni avec la facilité d'utilisation de l'appareil. Elles ne doivent pas proposer d'annonces ni de contenu supplémentaire en dehors du contexte ou des fonctions de l'application elle-même sans avoir reçu l'accord préalable de l'utilisateur. De plus, la source des annonces doit être clairement spécifiée, le cas échéant.
  • L'application doit respecter les engagements pris auprès des internautes. Ces derniers doivent disposer de toutes les fonctionnalités annoncées dans l'application. Le contenu des applications peut être mis à jour, mais aucune application supplémentaire ne doit être téléchargée sans le consentement éclairé de l'utilisateur.
  • Faites preuve de transparence. Une application ne doit ni désinstaller ni remplacer d'autres applications ou leurs raccourcis, sauf s'il s'agit de son objectif déclaré. Les désinstallations doivent être claires et totales. Les applications ne doivent pas imiter les invites du système d'exploitation de l'appareil ou d'autres applications.

Les applications distribuées via Google Play doivent respecter le Règlement du programme pour les développeurs et le Contrat relatif à la distribution pour les développeurs, lesquels comportent des exigences supplémentaires.

Corriger le problème

Assurez-vous que votre site ou votre application suit les consignes énoncées ci-dessus. Vous pouvez ensuite demander un examen dans le rapport sur les problèmes de sécurité.

Si votre application mobile affiche des avertissements, vous en apprendrez plus ici sur la validation d'applications et sur les réclamations.