Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Une extension Firefox prise à siphonner l'historique de navigation de ses 220 000 utilisateurs
Après avoir bénéficié d'un coup de cœur de Mozilla

Le , par Stéphane le calme

118PARTAGES

14  0 
Une extension populaire de Firefox enregistre secrètement l'historique de navigation des utilisateurs, selon les rapports de l'auteur du bloqueur de publicité d'uBlock Origin et de Mike Kuketz, un blogueur allemand spécialisé dans la confidentialité et la sécurité.

L'extension en question s'appelle Web Security et est actuellement installée par 221 467 utilisateurs de Firefox, selon le portail officiel des modules complémentaires de Mozilla.

Pourtant, selon sa description, Web Security « est une extension sophistiquée de navigateur qui utilise une technologie de protection en temps réel avancée ainsi qu'une base de données étendue pour empêcher les sites Web de nuire à votre ordinateur ou d'obtenir vos données sensibles ».


Le coup de pouce qui met la lumière sur le mécanisme

Son nombre élevé d’installations peut être en partie dû à un billet publié par Mozilla la semaine dernière et intitulé « Faites de votre navigateur Firefox une superpuissance de confidentialité avec ces extensions » où l’équipe a fait une liste d’extensions qu’elle recommande aux utilisateurs et dans laquelle figurait Web Security.

Quelques heures après la publication du billet de Mozilla, Raymond Hill, l’auteur du bloqueur de publicité d’uBlock Origin, a souligné que l’extension présentait un comportement étrange : « Avec cette extension, je vois que pour chaque page que vous chargez dans votre navigateur, il y a un POST sur http://136.243.163.73/ » a expliqué Hill. « Les données postées sont brouillées, peut-être que quelqu'un aura le temps d'approfondir l’enquête ».

Quelques jours plus tard, Kuketz, un blogueur allemand populaire, a publié un article sur le même comportement. Et les choses se sont enchaînées. Un utilisateur a réussi à décoder les données « brouillées », révélant que l’extension envoyait secrètement l'URL des pages visitées à un serveur allemand.

Dans des circonstances normales, un module complémentaire Firefox qui doit analyser les menaces peut être autorisé à vérifier les URL qu'il analyse sur un serveur distant, mais en fonction du format des données envoyées par le module complémentaire au serveur distant, Web Security. semble enregistrer plus que l'URL actuelle.

Code : Sélectionner tout
< id|35237841|id >< hash|1|hash >< app|web_security|app >< agent|FF|agent >< app_data|;< oldUrl;|http://blog.fefe.de/;|oldUrl; >;< newUrl;|https://www.kuketz-blog.de/;|newUrl; >;< oldHost;|blog.fefe.de;|oldHost; >;< newHost;|www.kuketz-blog.de;|newHost; >;< hash;|67918192;|hash; >;< language;|de;|language; >|app_data >
Les données montrent que l’extension piste des utilisateurs individuels tout d’abord en les marquant par un identifiant, ensuite en enregistrant leur modèle de navigation mais aussi comment ils sont passés d'une "oldUrl" à une "newUrl".

Un modèle excessif de consignation

Ce modèle de consignation est un peu excessif et va à l'encontre des directives de Mozilla concernant les extensions, qui interdisent aux modules complémentaires de consigner l'historique de navigation des utilisateurs.


Lorsque vous ouvrez une page potentiellement malveillante ou dangereuse, l'extension vous prévient

Un porte-parole de Creative Software Solutions a fourni la déclaration suivante promettant d’enquêter davantage sur le problème :

« L'addon Web Security est, comme son nom l'indique, un addon de sécurité, qui protège l'utilisateur des sites Web abusifs pour protéger ses données et sa vie privée. Nous ne voulons pas que les sites suivent et volent les données des utilisateurs ou l'historique de navigation. L'un des aspects de la sécurité comprend la vérification du site demandé par rapport à une liste noire globale. Ainsi, la communication entre le client et nos serveurs est inévitable, tandis que nous conservons un minimum absolu et ne journalisons pas cette communication. Nos serveurs sont tous situés en Allemagne, nous sommes donc liés par le RGPD et nous nous limitons à traiter les données pour les raisons spécifiées.

« Notre extension a également été traitée par le personnel de vérification rigoureux de Mozilla, qui a spécifiquement approuvé toutes les communications. Toutes les données transférées doivent communiquer de manière sécurisée, mais comme nous prenons ces problèmes de confidentialité très au sérieux, j'ai déjà informé les développeurs pour qu'ils examinent le problème, pour effectuer une vérification et une amélioration où cela est possible ».

Une extension qui est toujours disponible

Rappelons que Mozilla a supprimé de son portail deux modules complémentaires qui présentaient un comportement similaire, notamment Stylish et Web of Trust. Mais à l’heure de la rédaction de ces lignes, l’extension est toujours disponible sur le portail. Néanmoins, Mozilla a retiré la mention de cette extension de son billet de blog.

Les ingénieurs de Mozilla examinent généralement les extensions présentant un comportement suspect et les interdisent si nécessaire. Ce processus prend généralement quelques jours, comme c'était le cas avec Stylish.

Source : portail des extensions, billet de blog Kuketz

Et vous ?

Connaissiez-vous Web Security ? L'avez-vous déjà utilisé ? Qu'en pensez-vous ?
Les affirmations du porte parole de son éditeur suffisent-elles à vous convaincre ?

Voir aussi :

Thunderbird 60.0 : le client de messagerie libre fait peau neuve avec le design Photon de Firefox, et supporte la norme d'authentification FIDO U2F
Firefox : Mozilla lance l'extension Advance pour recommander des contenus aux internautes en fonction de leur activité de navigation
Firefox : des chercheurs en sécurité inquiets au sujet du mécanisme de résolution d'adresse DNS qui s'appuie par défaut sur les serveurs Cloudfare
Comme Firefox et Chrome, Microsoft Edge se dote du support de WebAuthn, la norme de sécurité visant à mettre fin aux mots de passe sur le Web
Mozilla veut de nouveaux logos pour Firefox et d'autres produits de la marque et sollicite l'avis des utilisateurs pour mener à bien cette tâche

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Steinvikel
Membre expérimenté https://www.developpez.com
Le 18/08/2018 à 14:59
Citation Envoyé par Coriolan Voir le message
Après cette purge, on est amenés à se demander comment toutes ces extensions ont pu accéder au portail de Mozilla sans qu’elles soient bloquées en premier lieu. La réponse est simple, tout comme Google, Firefox a choisi d’automatiser le processus de vérification des extensions au lieu de recourir à une vérification manuelle.
Je cite la précédente news (Une extension a été prise à siphonner...) :
« Nos serveurs sont tous situés en Allemagne, nous sommes donc liés par le RGPD et nous nous limitons à traiter les données pour les raisons spécifiées.
(...) Notre extension a également été traitée par le personnel de vérification rigoureux de Mozilla, qui a spécifiquement approuvé toutes les communications. »

" traitée par le personnel " signifie qu'une validation "manuelle" a été effectué, le passage entre les mailles du fillet n'est donc pas dû (en tout cas principalement) à l'automatisation du process de validation, mais plutôt aux méthodes employé et aux éléments vérifiés.
Question RGPD, soit le pillage de l'intimité est permit par la RGPD, soit ce sont de fiéfés menteurs... ne connaissant pas la RGPD je ne me prononcerais pas. ^^'

Citation Envoyé par Coriolan Voir le message
De ce fait, certains utilisateurs estiment qu’ils doivent avoir plus de contrôle sur les permissions octroyées aux extensions, surtout que ces modules complémentaires ont facilement accès à des données sensibles comme les informations personnelles, les coordonnées bancaires, les mots de passe, etc.
Sur Android ils ont trouvé la parade... ils font de l'annonce sur la possibilité d'affiner les permissions grâce à une prochaine version d'Android, quand cette fonctionnalité arrive, elle est accessible à l'installation, mais à partir de la version suivante, ce paramétrage n'est accessible qu'APRES avoir installé l'appli, et les permissions de toutes les appli sont reset à chaque mise à jour de l'OS. (un doute sur le fautif >> Google, ou la surcouche Samsung ?)

D'ailleurs, quelqu'un sait pourquoi la fonctionnalité d'exporter les "réglages" de Firefox n'est pas accessible ? ...la seule solution est de copier le profil (incorporant les extension, les mot de passe, l'historique, etc.)

Avez-vous déjà utilisé des extensions concernées par cette purge ?
non, j'en utilise très peu (moins de 10), et majoritairement sous licence GPL.
...une information qui est rarement présente dans les "stores" que ce soit Goggle, Mozilla, ou les autres.
4  0