Mozilla supprime 23 extensions Firefox qui ont siphonné les données de plus de 500 000 utilisateurs
De façon malicieuse

Le , par Coriolan, Chroniqueur Actualités
Avec Firefox, Mozilla dit œuvrer pour que les utilisateurs gardent le contrôle de leur vie en ligne, c’est pourquoi le navigateur libre est présenté comme étant le champion de la confidentialité. Néanmoins, cela n’empêche pas le navigateur d’être impliqué dans des scandales de collecte de données de temps en temps.

C’est le cas cette semaine d’une extension Firefox prise à siphonner l'historique de navigation de ses 220 000 utilisateurs après avoir bénéficié d'un coup de cœur de Mozilla. L’extension en question s’appelle Web Security et il a été établi qu’elle enregistre secrètement l’historique de navigation des utilisateurs qui l’ont installée.

Après l’éclatement de la polémique, Mozilla a vite réagi en supprimant 23 extensions de Firefox qui ont collecté secrètement les données des utilisateurs. Ces extensions ont été installées par plus de 500 000 utilisateurs. La liste inclut bien évidemment l’extension « Web Security » que Mozilla a mise en avant auparavant.

Selon sa description, Web Security « est une extension sophistiquée de navigateur qui utilise une technologie de protection en temps réel avancée ainsi qu'une base de données étendue pour empêcher les sites Web de nuire à votre ordinateur ou d'obtenir vos données sensibles ».

Après la publication de rapports accablants sur cette extension, l’ingénieur de Mozilla Rob Wu a entrepris d’analyser l’extension et faire une comparaison avec toutes les extensions Firefox disponibles au public. Il a pu trouver des points de ressemblance avec des extensions utilisant un code similaire pour fouiner dans les données des utilisateurs. Il a même établi que toutes ces extensions envoient les données vers le même serveur utilisé par Web Security. Après avoir relayé ces analyses à Mozilla, plusieurs extensions ont été bannies et supprimées du portail de modules complémentaires.

Une page dans Bugzilla inclut la liste complète des extensions supprimées après cette action de Mozilla. Bien que leurs noms ne sont pas listés (seulement leur ID), on sait que parmi les extensions supprimées figure Browser Security, Browser Privacy et Browser Safety.

Une fois bannies, les extensions ne peuvent plus être installées ou utilisées dans Firefox. Les utilisateurs qui les ont installées verront apparaitre une alerte comme celle-ci :


Ce n’est pas la première fois que Mozilla bloque des extensions malicieuses. Pendant des années, des add-ons avec des vulnérabilités ont été aussi bloqués avant d’être supprimés dans la plupart des cas. Cette capacité de Mozilla à intervenir est essentielle pour protéger les utilisateurs en cas de besoin. Néanmoins, les utilisateurs les plus coriaces peuvent toujours désactiver la validation pour exécuter toute extension dans la version Nightly de Firefox.

Après cette purge, on est amenés à se demander comment toutes ces extensions ont pu accéder au portail de Mozilla sans qu’elles soient bloquées en premier lieu. La réponse est simple, tout comme Google, Firefox a choisi d’automatiser le processus de vérification des extensions au lieu de recourir à une vérification manuelle. Résultat, le processus est devenu beaucoup plus rapide, mais avec le risque de voir des extensions malicieuses et invasives de la vie privée figurer dans le catalogue de Mozilla.

De ce fait, certains utilisateurs estiment qu’ils doivent avoir plus de contrôle sur les permissions octroyées aux extensions, surtout que ces modules complémentaires ont facilement accès à des données sensibles comme les informations personnelles, les coordonnées bancaires, les mots de passe, etc. Sans ce contrôle, les utilisateurs ne vont pas avoir de choix que d’accepter à installer les extensions ou bien refuser sans pouvoir faire des ajustements aux permissions accordées.

Source : Bugzilla

Et vous ?

Qu'en pensez-vous ?
Avez-vous déjà utilisé des extensions concernées par cette purge ?

Voir aussi :

Thunderbird 60.0 : le client de messagerie libre fait peau neuve avec le design Photon de Firefox, et supporte la norme d'authentification FIDO U2F
Firefox : Mozilla lance l'extension Advance pour recommander des contenus aux internautes en fonction de leur activité de navigation
Firefox : des chercheurs en sécurité inquiets au sujet du mécanisme de résolution d'adresse DNS qui s'appuie par défaut sur les serveurs Cloudfare
Mozilla veut de nouveaux logos pour Firefox et d'autres produits de la marque et sollicite l'avis des utilisateurs pour mener à bien cette tâche


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse Signaler un problème

Avatar de Steinvikel Steinvikel - Membre averti https://www.developpez.com
le 18/08/2018 à 14:59
Citation Envoyé par Coriolan Voir le message
Après cette purge, on est amenés à se demander comment toutes ces extensions ont pu accéder au portail de Mozilla sans qu’elles soient bloquées en premier lieu. La réponse est simple, tout comme Google, Firefox a choisi d’automatiser le processus de vérification des extensions au lieu de recourir à une vérification manuelle.
Je cite la précédente news (Une extension a été prise à siphonner...) :
« Nos serveurs sont tous situés en Allemagne, nous sommes donc liés par le RGPD et nous nous limitons à traiter les données pour les raisons spécifiées.
(...) Notre extension a également été traitée par le personnel de vérification rigoureux de Mozilla, qui a spécifiquement approuvé toutes les communications. »

" traitée par le personnel " signifie qu'une validation "manuelle" a été effectué, le passage entre les mailles du fillet n'est donc pas dû (en tout cas principalement) à l'automatisation du process de validation, mais plutôt aux méthodes employé et aux éléments vérifiés.
Question RGPD, soit le pillage de l'intimité est permit par la RGPD, soit ce sont de fiéfés menteurs... ne connaissant pas la RGPD je ne me prononcerais pas. ^^'

Citation Envoyé par Coriolan Voir le message
De ce fait, certains utilisateurs estiment qu’ils doivent avoir plus de contrôle sur les permissions octroyées aux extensions, surtout que ces modules complémentaires ont facilement accès à des données sensibles comme les informations personnelles, les coordonnées bancaires, les mots de passe, etc.
Sur Android ils ont trouvé la parade... ils font de l'annonce sur la possibilité d'affiner les permissions grâce à une prochaine version d'Android, quand cette fonctionnalité arrive, elle est accessible à l'installation, mais à partir de la version suivante, ce paramétrage n'est accessible qu'APRES avoir installé l'appli, et les permissions de toutes les appli sont reset à chaque mise à jour de l'OS. (un doute sur le fautif >> Google, ou la surcouche Samsung ?)

D'ailleurs, quelqu'un sait pourquoi la fonctionnalité d'exporter les "réglages" de Firefox n'est pas accessible ? ...la seule solution est de copier le profil (incorporant les extension, les mot de passe, l'historique, etc.)

Avez-vous déjà utilisé des extensions concernées par cette purge ?
non, j'en utilise très peu (moins de 10), et majoritairement sous licence GPL.
...une information qui est rarement présente dans les "stores" que ce soit Goggle, Mozilla, ou les autres.

 
Contacter le responsable de la rubrique Accueil