Les utilisateurs de Windows installant la dernière mise à jour de sécurité de Java peuvent se retrouver avec un peu plus de sécurité que ce qu'ils ont demandé. Du moins, c'est le risque qu'ils prennent, s'ils ne prêtent pas une attention particulière au processus d'installation. En effet, depuis le mois dernier, Oracle livre en bundle avec ses mises à jour de Java pour le système d'exploitation Windows l'outil d'analyse Security Scan Plus de McAfee. Le logiciel est installé par défaut, de sorte que, si l'utilisateur ne décoche pas la case d'installation de McAfee au moment de la mise à jour, celui-ci sera téléchargé en même temps.

Un antivirus gourmand en mémoire vive

Security Scan Plus scanne le PC pour voir s'il dispose d'un logiciel antivirus et d'un pare-feu et vérifie également les numéros de version des logiciels de sécurité. Le programme ouvre des fenêtres pop-up et il est un peu plus visible - à la manière de la Toolbar de Yahoo! - que dans le bundle de l'update précédent de Java, livré aux États-Unis. Selon le territoire concerné, Oracle associe différents produits avec Java, si bien que tous les utilisateurs de Windows ne se retrouvent pas forcément à installer Security Scan Plus lors de la mise à jour de Java. Une fois téléchargé, le logiciel de McAfee invite l'utilisateur à accepter les conditions de licences du logiciel sur une base quotidienne avant d'achever l'installation. L'utilisateur peut annuler cette invite, mais il n'y a aucun moyen de se soustraire aux termes de la licence. Finalement, pour supprimer le logiciel, l'utilisateur doit passer par la fonction « Désinstaller un programme » de Windows.

Des utilisateurs mécontents

Depuis qu'Oracle a commencé son opération avec McAfee, filiale d'Intel, un certain nombre d'utilisateurs ont installé le logiciel par inadvertance. Oracle a même posté une FAQ intitulée « Qu'est-ce que Security Scan Plus » sur son site Internet Java.com pour expliquer ce que faisait le logiciel. Certains utilisateurs sont mécontents. L'un d'entre eux a même posté un message sur un forum d'Intel après avoir constaté un ralentissement du PC d'un membre de sa famille depuis quelques semaines, visiblement à la suite d'une mise à jour de Java. « Ma belle-fille m'a demandé pourquoi son ordinateur était si lent. Et, bien sûr, McAfee AV était installé, » écrit-il. « Sérieusement, cette chose pompe toute la vitalité du système. » Security Scan Plus pèse 1 Mo en téléchargement, « mais il utilise 4 Mo de mémoire pour être exécuté, » a indiqué un porte-parole de McAfee. Mais l'antivirus a aussi un autre moyen de s'introduire sur un ordinateur PC. « Certains utilisateurs se sont plaints que le logiciel était téléchargé pendant la mise à jour d'Adobe Reader, et cela peut arriver lors du téléchargement via le centre de téléchargement d'Adobe, » a déclaré un porte-parole d'Adobe.

 

McAfee a justifié son choix d'installer Security Scan par défaut. « Nous estimons qu'il est préférable d'être protégé que pas du tout, c'est pourquoi cette option est cochée par défaut, » a déclaré une porte-parole de McAfee. « Étonnamment, beaucoup d'utilisateurs ont des ordinateurs équipés de logiciels de sécurité obsolètes ou non sécurisés tout court. » Selon StopBadware.org, une association qui surveille les éditeurs de logiciels, McAfee et Oracle pourraient faire un effort pour mieux informer les utilisateurs de l'installation, mais, en tout état de cause, le logiciel de scan n'est certainement pas un programme malveillant. « Il semble qu'il dérange plutôt, mais il n'a pas l'air méchant, » a déclaré le directeur exécutif de StopBadware, Maxim Weinstein. « Même si ce type d'installation ne doit pas se faire de manière sournoise, ce serait bien que l'utilisateur ait un choix un peu plus clair. »