Mozilla supprime 23 extensions Firefox qui ont siphonné les données de plus de 500 000 utilisateurs

De façon malicieuse

Mozilla supprime 23 extensions Firefox qui ont siphonné les données de plus de 500 000 utilisateurs
de façon malicieuse

Avec Firefox, Mozilla dit œuvrer pour que les utilisateurs gardent le contrôle de leur vie en ligne, c’est pourquoi le navigateur libre est présenté comme étant le champion de la confidentialité. Néanmoins, cela n’empêche pas le navigateur d’être impliqué dans des scandales de collecte de données de temps en temps.

C’est le cas cette semaine d’une extension Firefox prise à siphonner l'historique de navigation de ses 220 000 utilisateurs après avoir bénéficié d'un coup de cœur de Mozilla. L’extension en question s’appelle Web Security et il a été établi qu’elle enregistre secrètement l’historique de navigation des utilisateurs qui l’ont installée.

Après l’éclatement de la polémique, Mozilla a vite réagi en supprimant 23 extensions de Firefox qui ont collecté secrètement les données des utilisateurs. Ces extensions ont été installées par plus de 500 000 utilisateurs. La liste inclut bien évidemment l’extension « Web Security » que Mozilla a mise en avant auparavant.

Selon sa description, Web Security « est une extension sophistiquée de navigateur qui utilise une technologie de protection en temps réel avancée ainsi qu'une base de données étendue pour empêcher les sites Web de nuire à votre ordinateur ou d'obtenir vos données sensibles ».

Après la publication de rapports accablants sur cette extension, l’ingénieur de Mozilla Rob Wu a entrepris d’analyser l’extension et faire une comparaison avec toutes les extensions Firefox disponibles au public. Il a pu trouver des points de ressemblance avec des extensions utilisant un code similaire pour fouiner dans les données des utilisateurs. Il a même établi que toutes ces extensions envoient les données vers le même serveur utilisé par Web Security. Après avoir relayé ces analyses à Mozilla, plusieurs extensions ont été bannies et supprimées du portail de modules complémentaires.

Une page dans Bugzilla inclut la liste complète des extensions supprimées après cette action de Mozilla. Bien que leurs noms ne sont pas listés (seulement leur ID), on sait que parmi les extensions supprimées figure Browser Security, Browser Privacy et Browser Safety.

Une fois bannies, les extensions ne peuvent plus être installées ou utilisées dans Firefox. Les utilisateurs qui les ont installées verront apparaitre une alerte comme celle-ci :


Ce n’est pas la première fois que Mozilla bloque des extensions malicieuses. Pendant des années, des add-ons avec des vulnérabilités ont été aussi bloqués avant d’être supprimés dans la plupart des cas. Cette capacité de Mozilla à intervenir est essentielle pour protéger les utilisateurs en cas de besoin. Néanmoins, les utilisateurs les plus coriaces peuvent toujours désactiver la validation pour exécuter toute extension dans la version Nightly de Firefox.

Après cette purge, on est amenés à se demander comment toutes ces extensions ont pu accéder au portail de Mozilla sans qu’elles soient bloquées en premier lieu. La réponse est simple, tout comme Google, Firefox a choisi d’automatiser le processus de vérification des extensions au lieu de recourir à une vérification manuelle. Résultat, le processus est devenu beaucoup plus rapide, mais avec le risque de voir des extensions malicieuses et invasives de la vie privée figurer dans le catalogue de Mozilla.

De ce fait, certains utilisateurs estiment qu’ils doivent avoir plus de contrôle sur les permissions octroyées aux extensions, surtout que ces modules complémentaires ont facilement accès à des données sensibles comme les informations personnelles, les coordonnées bancaires, les mots de passe, etc. Sans ce contrôle, les utilisateurs ne vont pas avoir de choix que d’accepter à installer les extensions ou bien refuser sans pouvoir faire des ajustements aux permissions accordées.

Source : Bugzilla

Et vous ?

Qu'en pensez-vous ?
Avez-vous déjà utilisé des extensions concernées par cette purge ?

Voir aussi :

Thunderbird 60.0 : le client de messagerie libre fait peau neuve avec le design Photon de Firefox, et supporte la norme d'authentification FIDO U2F
Firefox : Mozilla lance l'extension Advance pour recommander des contenus aux internautes en fonction de leur activité de navigation
Firefox : des chercheurs en sécurité inquiets au sujet du mécanisme de résolution d'adresse DNS qui s'appuie par défaut sur les serveurs Cloudfare
Mozilla veut de nouveaux logos pour Firefox et d'autres produits de la marque et sollicite l'avis des utilisateurs pour mener à bien cette tâche