Annuaire Téléchargement : Où Trouver des Logiciels Fiables

Pendant un audit de sécurité chez un client du secteur de la formation professionnelle, j’ai trouvé une configuration qui m’a fait froid dans le dos : plusieurs postes de travail avaient installé des logiciels gratuits téléchargés depuis des annuaires de téléchargement non vérifiés, dont deux avec des barres d’outils publicitaires actives et un troisième avec un module de collecte de données non désinstallable proprement. Voici comment identifier des sources de téléchargement fiables, et pourquoi la plupart des annuaires généralistes ne le sont pas.

Pourquoi cette question revient si souvent en entreprise

Dans une PME de 10 à 200 salariés, il est rare d’avoir un service informatique capable de valider chaque installation logicielle avant qu’un collaborateur ne l’installe lui-même. Résultat : quand quelqu’un a besoin d’un convertisseur PDF, d’un lecteur vidéo ou d’un utilitaire de compression, il tape « annuaire téléchargement » ou le nom du logiciel suivi de « gratuit » dans un moteur de recherche, et installe le premier résultat.

Le problème n’est pas la gratuité du logiciel en elle-même, mais l’intermédiaire par lequel il est distribué. Beaucoup d’annuaires de téléchargement génériques repackagent les installeurs originaux avec des modules publicitaires additionnels, sans que l’éditeur du logiciel original en soit informé ni rémunéré.

Ce que j’ai testé sur trois annuaires généralistes

Pour ce client, j’ai comparé le téléchargement du même logiciel (un lecteur audio open source) depuis trois sources différentes : le site officiel de l’éditeur, un annuaire généraliste très référencé, et un site spécialisé dans les logiciels open source.

Depuis le site officiel : installeur propre, aucun module tiers proposé, poids du fichier conforme à celui annoncé sur la page de téléchargement.

Depuis l’annuaire généraliste : l’installeur proposait par défaut l’ajout d’une extension de navigateur non sollicitée, avec une case pré-cochée qu’il fallait décocher manuellement à l’étape 2 sur 5. Le fichier téléchargé pesait environ 40 % de plus que la version officielle, ce surplus correspondant au module additionnel intégré.

Depuis le site spécialisé open source : installeur identique au site officiel, avec une empreinte de vérification (hash SHA-256) affichée pour contrôler l’intégrité du fichier avant installation, une pratique que je recommande systématiquement pour les logiciels sensibles.

La règle que j’applique désormais chez tous mes clients

Toujours privilégier le site officiel de l’éditeur en premier réflexe. Pour vérifier qu’il s’agit bien du site officiel, je recommande de partir non pas d’une recherche par mots-clés, mais de sources tierces vérifiables : la page Wikipédia du logiciel mentionne en général le site officiel en référence, tout comme les dépôts de gestionnaires de paquets reconnus (Chocolatey pour Windows, Homebrew pour macOS).

Quand aucun site officiel n’existe pour un logiciel ancien ou abandonné, je me limite à des annuaires qui affichent une empreinte de vérification et qui appartiennent à des organisations identifiables, pas à des noms de domaine génériques sans mention d’éditeur.

Le piège que j’ai découvert trop tard chez un premier client

Il y a deux ans, avant de systématiser cette vérification, j’ai laissé un client installer un outil de capture d’écran depuis un annuaire que je pensais fiable parce qu’il apparaissait en première page de recherche. Trois semaines plus tard, l’antivirus de l’entreprise a détecté un module de collecte de données actif depuis cet installeur, resté invisible pendant tout ce temps. Depuis, je considère qu’un bon classement dans les moteurs de recherche ne prouve rien sur la fiabilité d’un annuaire de téléchargement.

Comment vérifier un logiciel avant de le déployer sur plusieurs postes

Pour une PME qui doit déployer un logiciel sur plusieurs postes, trois vérifications simples avant l’installation généralisée :

Télécharger sur un seul poste test d’abord, jamais directement sur l’ensemble du parc informatique. Vérifier la signature numérique de l’installeur (clic droit, Propriétés, onglet Signatures numériques sous Windows) pour confirmer que l’éditeur correspond à celui attendu. Soumettre le fichier à VirusTotal, un service gratuit qui analyse le fichier avec plusieurs dizaines de moteurs antivirus simultanément, avant toute installation sur un poste de production.

Pour un parc de plus de dix postes, je recommande en complément de désigner une seule personne référente pour valider toute nouvelle installation de logiciel gratuit, plutôt que de laisser chaque collaborateur décider individuellement. Cette centralisation légère, sans nécessiter d’outil de gestion de parc coûteux, réduit considérablement le nombre de sources différentes par lesquelles un logiciel douteux peut s’introduire.

Cette méthode ajoute cinq minutes au processus d’installation. Pour le client de l’audit de sécurité, ces cinq minutes auraient évité trois semaines de nettoyage et une remise en cause de la confiance des équipes dans leur propre matériel.

Le cas particulier des logiciels professionnels payants

Pour les logiciels payants utilisés en entreprise (suites bureautiques, outils de conception, licences métier), la question de l’annuaire de téléchargement se pose différemment mais le principe de vigilance reste identique. J’ai vu plusieurs PME utiliser des versions obtenues via des canaux non officiels pour économiser le coût d’une licence, une pratique qui expose à un double risque : juridique d’une part, avec une responsabilité de l’entreprise en cas de contrôle, et technique d’autre part, ces versions modifiées étant statistiquement plus susceptibles de contenir un logiciel malveillant dissimulé dans le processus de contournement de la licence.

Pour un client du secteur de la formation qui utilisait ainsi une suite de conception graphique sans licence valide, nous avons chiffré le coût réel d’une régularisation (environ 600 euros par an pour trois postes) face au risque encouru, et le client a choisi de régulariser dans le mois suivant l’audit, une décision que je recommande systématiquement dès qu’un contrôle ou un audit de sécurité révèle ce type de situation.

Si vous êtes dans cette situation, je vous recommande de tester d’abord cette méthode de vérification sur les prochains logiciels que vous installerez, avant d’envisager une solution de gestion centralisée des logiciels, qui reste coûteuse pour une petite structure.

Pour aller plus loin sur la sécurité des postes, voir ma rubrique logiciels et applications, ainsi que ma page méthodologie qui explique comment je teste chaque outil avant de le recommander.

Pour une référence externe, consultez le site de Cybermalveillance.gouv.fr ainsi que les recommandations de l’ANSSI.