Firefox : Mozilla va bloquer toutes les extensions qui ne sont pas signées numériquement

Pour offrir plus de sécurité aux utilisateurs

Firefox doit une partie de son succès à cette possibilité qu’il offre aux développeurs d’étendre ses fonctionnalités grâce à des extensions. Cependant, certains développeurs ont abusé de cette fonctionnalité en modifiant, par exemple, sans le consentement de l’internaute certains de ses paramètres ou en publiant des extensions malveillantes.

Afin d’améliorer la sécurité et les performances de son navigateur, la fondation Mozilla compte désormais obliger le recours à des signatures numériques pour toutes les extensions Firefox.

« Nous sommes responsables de notre écosystème d’extensions, et nous ne pouvons pas rester les bras croiser alors que nos utilisateurs souffrent à cause de mauvaises extensions », explique Mozilla, qui regrette la prolifération « des extensions qui changent la page d’accueil et les paramètres de recherche de l’utilisateur sans son consentement, comme celles qui injectent des annonces dans les pages Web ou des scripts malveillants sur les sites de médias sociaux. »


Pour réduire les conséquences de ces extensions, Mozilla avait publié des directives que devait suivre l’ensemble des extensions, et pouvait procéder au blocage à distance des extensions qui ne respectent pas cette charte. Cependant, ces extensions, qui ne figurent pas sur AMO (Mozilla Add-On), la plateforme officielle d’hébergement d’extensions Firefox, ont développé des mécanismes rendant difficile leur détection et leur blocage.

Mozilla monte ainsi au créneau. Mais, n’opte pas, cependant, pour une solution radicale en imposant Mozilla Add-On comme unique référentiel pour les extensions Firefox, comme l’a fait Google pour Chrome. « Une solution simple serait de forcer tous les développeurs à distribuer leurs extensions, à partir de AMO comme c’est le cas pour les extensions Chrome. Cependant, nous pensons que c’est une contrainte inutile. Pour maintenir l’équilibre, nous avons opté pour une signature numérique des extensions, ce qui nous donnera un meilleur contrôle sur l’écosystème des extensions, sans obliger que AMO soit le seul canal de distribution », explique Mozilla.

Les extensions figurant dans le canal de distribution officiel seront automatiquement signées par Mozilla. Pour les autres extensions, elles devront être soumises à la fondation pour signature. Celles-ci seront signées après un examen automatisé. En cas d’échec de la signature, les développeurs auront la possibilité de demander une vérification manuelle de l’extension par Mozilla. Pour les extensions destinées à des usages en intranet, Mozilla va mettre en place un mécanisme pour leur vérification.

Cette nouvelle directive prendra effet après une période transitoire de 12 semaines (équivalent à la publication de deux versions de Firefox) durant laquelle les extensions non signées retourneront un avertissement dans le navigateur. Après cette période, il ne sera plus possible d’installer des extensions non signées sur les versions bêta et stables de Firefox.

Pour les développeurs ils devront tester leurs extensions sur Firefox Nightly ou la « Developer Edition », qui ne sont pas concernées par cette nouvelle mesure.

Source : Mozilla

Et vous ?

Que pensez-vous de cette mesure ? Était-il temps ?