WOT (ou Web of Trust) est un logiciel gratuit de sécurité développé par la firme WOT Services basée à Helsinki en Finlande. Il prend la forme d'un plugin ou extension pour navigateur web (Mozilla Firefox, Google Chrome) qui renseigne l'utilisateur sur la réputation des sites Web avant que celui-ci n'y accède. WOT affiche, en regard de chaque lien (texte ou image) renvoyé par le moteur de recherche, un indicateur de la fiabilité du site concerné. Cet indicateur prend la forme d'un cercle dont la couleur va du vert (fiable) au rouge (dangereux). Le système repose sur le crowdsourcing, c'est-à-dire sur les avis émis par la communauté des utilisateurs de WOT. Lorsqu'un site n'a pas encore été noté par les utilisateurs de WOT, l'indicateur de fiabilité est gris, ce qui n'indique pas un danger mais reflète le fait que ce site est peu fréquenté.
Il n’aura pas fallu longtemps à Mozilla et Google pour retirer cette extension de leurs vitrines en ligne après des rapports qui ont fait surface dans les médias allemands, notamment le NDR (Northern German Broadcasting) ou sur la chaîne Das Erte dans l'émission Panorama, et qui indiquent que les éditeurs de WOT ont collecté et vendu l’historique de navigation des utilisateurs sans même prendre la peine de les anonymiser contrairement à ce qu'elle affirme.
Un audit effectué par d’autres chercheurs à l’instar du chercheur allemand Mike Kuketz ou de Rob Wu, a permis de réaliser que les dommages causés par WOT auraient pu être plus sévères. En effet, le plugin peut exécuter du code arbitraire sur n’importe quelle page. L’impact et la sévérité de ce problème ont été catégorisés comme étant critiques étant donné que WOT pouvait faire n’importe quoi, allant du vol d’identifiants bancaires à l’installation d’un logiciel malveillant sur la machine de l’utilisateur. Rob a tout de même précisé que, lors de ses analyses, il n’a pas vu cette fonctionnalité utilisée.
Sur son forum, WOT a indiqué respecter la vie privée de ses utilisateurs et s'efforcer d'anonymiser les données collectées. En revanche, le quotidien Allemand FAZ a réussi à avoir un porte-parole de Mozilla qui a expliqué que la fondation a retiré cette extension parce qu'elle ne respecte pas la politique de transparence en matière d'informations apportées aux utilisateurs sur les données collectées. En parcourant la politique de confidentialité de WOT, vous pouvez lire que le plugin recueille les informations suivantes : les adresses IP, les emplacements géographiques, les types de périphériques, le système d'exploitation et le navigateur, les date et heure, l'utilisation de la navigation, y compris les pages Web visitées, les dates de clics ou l'adresse Web consultée, l'identifiant du navigateur et l'ID utilisateur.
Bien entendu ceux qui ont déjà l'extension installée peuvent continuer à s'en servir.
Source : tests de Rob Wu (GitHub), Bugzilla, politique de confidentialité WOT, FAZ
Et vous ?
Êtes-vous un utilisateur de WOT ? Qu'en pensez-vous ? Les extensions sont-elles une grave faille de sécurité pour la confidentialité de votre vie privée ? 
