FileZilla Godzilla ? 

En voulant vérifier les mises à jour de ma version du logiciel de transfert FTP Filezilla (3.36) via le point de menu ?  "Rechercher des mises à jour", l'opération s'avère impossible. Il me faut passer par une recherche manuelle sur le serveur donné en lien : filezilla-project.org

En 2 clics on trouve rapidement la dernière version (ici Filezilla 3.45.1) correspondant à son système d'exploitation.

Si on fait aveuglément confiance à l'éditeur de ce logiciel Open Source qui s'est imposé depuis 2004, on clique donc sur le lien.

Et là, après avoir téléchargé le fichier exécutable, en fonction de votre logiciel antivirus, il est possible que vous ayez une alerte.

En effet, la version téléchargée contient le composant PUA.InstallCore, qui a de mauvaises manières puisqu'il installe d'autres programmes non désirés.

Se pourrait-il que l'éditeur du site Filezilla Project soit victime de fichiers corrompus ? Non, puisque la page précise bien que le fichier a téléchargé peut contenir un pack d'autres logiciels... (en anglais dans le texte : "

This installer may include bundled offers. Check below for more options

".

En se rendant sur l'onglet téléchargement du navigateur qui a été utilisé, on peut voir que l'antivirus a mis le fichier exécutable d'installation en quarantaine. Et au passage, que le nom de ce fichier est sans équivoque : FileZilla_3.45.1_win64_sponsored-setup.exe

Il faut alors cliquer sur un lien pour accéder à d'autres fichiers à télécharger, dont celui qui ne comprend QUE le logiciel désiré...

Déception

Dommage. Voilà l'exemple parfait d'un glissement de position. On ne peut pas évoquer l'abus de confiance, la tromperie, ou l'usage de méthode déceptive / dark pattern, car il est clairement indiqué que le fichier peut contenir d'autres logiciels. Mais il est regrettable que l'éditeur d'un logiciel bénéficiant d'un capital sympathie tel que FileZilla en arrive là. 

Chez Ordibug nous aurions préféré que l'éditeur fasse un message à la Wikipedia, en expliquant que les coûts d'infrastructure, de développement, etc. nécessitent un appel à dons pour financer la maintenance du logiciel. Et/ou en proposant ouvertement la version "sponsorisée" pour ceux qui ne veulent ou ne peuvent pas donner, mais toujours sans l'imposer. Bref, en sensibilisant l'utilisateur plutôt qu'en prenant l'initiative d'être mal perçu.

Source d'info à propos de PUA.InstallCore : https://www.symantec.com/security-center/writeup/2015-100213-2800-99?vid=4294908269

Informations affichées dans le logiciel Filezilla en choisissant l'option "rechercher des mises à jour »

A new version of FileZilla is available :
3.45.1

what's new ?
3.45.1 (2019-09-25)

- Fixed sorting issues in the directory trees

3.45.0 (2019-09-24)

- Updated translations

3.45.0-rc1 (2019-09-16)

+ If checking for updates cannot be performed for a prolonged time, users are warned about using an outdated version
- Performance improvements if expanding or refreshing a directory with thousands of direct subdirectories in the directory trees
- Fixed prefix search in Site Manager
- macOS: Fix password pasting using Cmd+V
- Minor performance improvements deleting many thousands of files

3.44.2 (2019-08-15)

- MSW: Fixed a crash if using predefined sites through fzdefaults.xml
- Fixes to protocol selection glitches in the Site Manager
- Increase maximum length of response lines when using FTP

3.44.1 (2019-08-09)

- Fixed a regression introduced in 3.44.0-rc1 breaking support for insecure servers

3.44.0 (2019-08-09)

- Fixed export in context menu of Site Manager to handle multiple selected items

3.44.0-rc1 (2019-08-02)

+ Multiple items can now be selected in the Site Manager
+ Pressing F3 in the Site Manager opens a search dialog
+ Add a reminder to the message log to switch to FTP over TLS each time a plain FTP connection is used
- Fix loading of confirmed, known insecure hosts
- Building and running FileZilla now depends on libfilezilla >= 0.18.0 (https://lib.filezilla-project.org/)

The new version could not be downloaded, please retry later


Started update check on 2019-11-10 12:51:27
Own build type: official
Selected port usually in use by a different protocol.
Requesting https://update.filezilla-project.org/update.php?cpuid=sse%2Csse2%2Csse3%2Cssse3%2Csse4.1%2Csse4.2%2Clm&initial=0&manual=1&osarch=64&osversion=10.0&platform=x86_64-w64-mingw32&updated=1&version=3.43.0
Resolving address of update.filezilla-project.org
Connecting to 136.243.154.122:443...
Connection established, initializing TLS...
Verifying certificate...
TLS connection established, sending HTTP request
File transfer successful, transferred 14 416 bytes in 1 second
Parsing 14416 bytes of version information.
Found new nightly 2019-11-07
Found new release 3.45.1
Downloading /FileZilla_3.45.1_win64-setup.exe
Resolving address of dl1.cdn.filezilla-project.org
Connecting to 195.201.43.134:443...
Connection established, initializing TLS...
Verifying certificate...
TLS connection established, sending HTTP request
File transfer successful, transferred 7 976 792 bytes in 4 seconds
Checksum match on file C:\Users\sitanim\AppData\Local\Temp\fzupdate_f3c9fd790b81b62f.tmp
Could not create local file C:\Users\sitanim\Desktop\Downloads\FileZilla_3.45.1_win64-setup.exe