Developpez.com

Une très vaste base de connaissances en informatique avec
plus de 100 FAQ et 10 000 réponses à vos questions

Firefox : Ant Video Downloader trace les utilisateurs
Mozilla obligé de retirer l'extension populaire de sa galerie

Le , par Idelways, Expert éminent sénior
Une extension populaire du navigateur Firefox collecte secrètement, et sans l'aval de l'utilisateur, son historique de navigation et les relie à un identifiant unique soupçonné de tracer l'utilisateur à de fins non identifiés, d'après un chercheur en sécurité.

Il s'agit (ou s'agissait puisqu'elle vient d'être retirée) de l'extension Ant Video Downloader, destinée à télécharger et visualiser les vidéos FLV, MP4, OGG et autres, trouvés sur les sites comme YouTube ou Vimeo.

Son cas est d'autant plus préoccupant que cette extension ne respecte pas « l'intimité » des utilisateurs même lorsqu'ils choisissent de surfer en mode « Navigation privée » ou de passer par le réseau décentralisé de routeurs Tor, afin de rendre anonymes toutes leurs transactions.

La présence d'une telle extension (open source) sur une galerie de Mozilla, pourtant soumise à validation, soulève des interrogations sur la pertinence des mesures de sécurité de cette plate-forme.

Si l'argument souvent avancé en faveur du logiciel libre réside dans la possibilité d'analyser le code contre toute tentative de faire passer du code malicieux, comment expliquer qu'une telle menace potentielle sur la vie privée des utilisateurs n'ait pu être débusquée avant ?

Mozilla explique par voie de presse que la collecte des données de navigations ne viole pas forcément les conditions d'utilisation de sa galerie, et que toutes extensions qui ne portent pas la mention « expérimentale » sont jugées respectant les critères d'admission.

Parmi ces critères, la nécessité d'expliquer « clairement aux utilisateurs les risques auquels ils peuvent s'exposer [en utilisant l'extension] et quelles mesures ils peuvent prendre pour se protéger ».

Une mesure que Ant Video Downloader ne respecte justement pas, ce qui amène la fondation à la suspendre en attendant que son développeur corrige ce problème.

D'après Mozilla, cette extension collecte des données sur les sites visités afin d'améliorer sa fonctionnalité de classement (ranking) qu'elle affiche aux utilisateurs.
Des données qui pourraient être utilisées en outre pour améliorer la pertinence des résultats du moteur de recherche Ant.com, appartenant à l'éditeur de cette extension qui se refuse toujours à s'expliquer sur cette affaire.

Le chercheur indépendant en sécurité Simon Newton a découvert l'existence de ce traçage fortuitement, en diagnostiquant un problème apparu durant le développement d'une application Web.
En lançant un renifleur de paquet, Simon Newton a découvert que les informations sur toutes ses requêtes HTTP (et pas seulement celles des sites de partage vidéo) sont transmises au serveur rpc.ant.com,

Ces informations comportent les adresses des sites visités, l'heure, les détails du navigateur et plusieurs cookies persistants qui portent un identifiant universel unique (UUID).

Cette extension est toujours disponible sur le site de son éditeur et existe aussi pour Internet Explorer, avec probablement le même comportement.

Sur Firefox, elle a été téléchargée 7 millions de fois avant sa suspension.

ATTENTION : Ant Video Downloader et Video DownloadHelper (90 millions d'installations) sont deux extensions différentes

Source : blog de Simon Newton, critères d'admission des extensions sur Mozilla

Et vous ?

Que pensez-vous de cette découverte ?
Et des mesures de sécurité de la galerie d'extensions de Firefox ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de baxou087 baxou087 - Membre habitué https://www.developpez.com
le 20/05/2011 à 13:39
Comme quoi, encore une fois :

Open Source ne veux pas dire exempt de cochonneries.
Avatar de le merou le merou - Nouveau membre du Club https://www.developpez.com
le 20/05/2011 à 18:42
Avatar de Kiiwi Kiiwi - Membre chevronné https://www.developpez.com
le 21/05/2011 à 1:18
Citation Envoyé par le merou  Voir le message

Disponible en téléchargement "expérimental".

si j'en crois l'article, les modules complémentaires passent outre les critères d'admissions lorsqu'ils sont en mode expérimental.

Sinon regardez les derniers commentaires ... sa note devrait vite diminuer si ça continue, ce qui entrainera moins de téléchargements
Avatar de Traroth2 Traroth2 - Expert éminent sénior https://www.developpez.com
le 21/05/2011 à 14:48
Personnellement, je note deux choses, en allant sur http://www.ant.com/video-downloader :

  • bien que l'apect open-source soit effectivement proclamé dès la première page, même en cherchant bien, je n'ai pas trouvé les sources
  • on peut lire très clairement "vérifié par Norton et McAfee". Chapeau Norton et McAfee...
Avatar de nu_tango nu_tango - Membre averti https://www.developpez.com
le 22/05/2011 à 11:49
J'avais supprimé cette extension sur le pc de ma copine il y a quelques temps déjà

Déjà j'avais trouvé bizarre qu'un moteur de recherche fasse un plugin pour télécharger des videos (a quand un bing/yahoo! video downloader ) mais à la limite pourquoi pas.

Par hasard, j'avais remarqué que le user-agent avait été modifié en un truc du style "...Firefox/3.x powered by ant.com". Pour moi louche -> poubelle.

Même si, personnellement, je limite au strict minimum ce genre d'extensions sur mon installation, je me vois mal aller éplucher le code source de chaque de chaque logiciel ou plugin open-source qu'elle installe (pas que ça à faire non plus).

Maintenant c'est limite si je lance un wireshark ou tpcdump quand je vois qu'elle à ajouté une nouvelle extension

A+
Offres d'emploi IT
Responsable transverse - engagement métiers H/F
Safran - Ile de France - Corbeil-Essonnes (91100)
Ingénieur intégration, validation, qualification du système de drone H/F
Safran - Ile de France - Éragny (95610)
Ingénieur développement fpga (traitement vidéo) H/F
Safran - Ile de France - 100 rue de Paris 91300 MASSY

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil