Chez Mozilla, la sécurité avant la liberté rss

Le 10 février, Mozilla a annoncé sur son blog qu'ils allaient prochainement introduire une nouvelle feature au sein de son navigateur Firefox : la signature des extensions. L'idée en soi est plutôt bonne ; jusqu'à la lecture du paragraphe qui nous explique que la signature des extensions sera obligatoire après la période de transition. Il ne sera alors plus possible d'installer des extensions qui n'auront pas été signées sur la plateforme de développement de Mozilla. Qui a dit Apple App Store ? Voyons pourquoi c'est la plus mauvaise idée venant de Mozilla que j'ai entendu depuis longtemps.

La première raison est parfaitement évidente. Firefox est un navigateur qui s'est construit grâce à son ouverture et à sa liberté utilisateur. Le verrouiller ne peut pas être considéré comme une bonne chose, surtout lorsque l'objet du verrou est également ce qui fait la force de ce navigateur : les extensions.

En ne prenant en compte que des considérations pratiques, s'il y a une seule raison qui m'empêche d'aller voir chez la concurrence, ce sont les extensions de Firefox. Et plus particulièrement celle-ci. Parlant de cette extension, j'ai déjà du la mettre plusieurs fois à jour récemment à partir du site du site du développeur parce qu'elle n'était pas à jour sur le "Mozilla Store". Je ne sais pas à quoi était dû la latence, mais toujours est-il qu'avec ce système de signature j'aurais pu me garder ma version buguée quelque temps.

Cela dit, ne tombons pas dans le procès d'intention, et étudions d'un peu plus près ce qu'on nous dit concrètement à propos de cette... feature.

1. C'est devenu indispensable pour la sécurité du navigateur et des utilisateurs.

D'une part, si je comprends que cette sécurité puisse être utile pour ma tante incapable de résister à l'envie d'installer toutes les toolbars et autres crapwares qui croisent sa route, je pense être un utilisateur un peu plus avisé. Le fait de ne même pas me laisser une option pour installer des addons non-signés est déconcertant.

D'autre part, durant le mois de janvier passé, de nombreuses voix se sont élevées pour rappeler au pouvoir en place que la surenchère de sécurité au détriment des libertés individuelles est inadmissible et contre-productive. Je pense notamment à la Quadrature. Je trouve que l'analogie est particulièrement juste ici, dans une moindre mesure évidemment.

2. Vous pouvez toujours installer des extensions non-signées... sur les versions beta et alpha.

Je sais qu'il y en a parmi vous qui sont des adeptes du bleeding edge, mais de mon côté je préfère avoir du stable quand on parle de quelque chose aussi central que le navigateur. Ça n'est pas ce que j'appelle une solution.

Mais surtout, dans quel monde est-il envisageable de développer une extension lorsque l'on ne peut pas la tester le même environnement que celui utilisé par les utilisateurs ? La question a été posée dans les commentaires, et je trouve la réponse délicieuse.

"There will be unbranded builds of Beta and Release where developers will be able to test their add-ons. The only differences between those builds will be the signature checking and the branding (name and logo)."

Clairement, ils vont proposer eux même un fork de Firefox qui fait sauter la sécurité et la marque Firefox. C'est beau.

3. Il y aura une période de transition de deux releases (12 semaines en tout) durant laquelle les extensions non-signées ne génèreront qu'un avertissement dans Firefox.

Sous entendu, lorsque le système de signature sera mis en place, TOUTES les extensions de l'écosystème Firefox devront être mises à jour (et signée) dans un délai de 12 semaines. Au delà : extension non autorisée. Et bien sûr les anciennes version : poubelle.

Conclusion

Il n'y a pas grand chose de plus à en tirer sinon qu'on nous sort la carte de la sécurité utilisateur à toutes les sauces. Je ne sais pas trop quelle mouche les a piqué mais ce verrouillage non optionnel est ridicule. Même Android (Google) permet d'installer des applications en dehors de son Play Store.

J'espère sincèrement un rétro-pédalage de leur part, ou au pire, s'arrêter à l'idée de la période de transition : une extension non signée génère un warning, un peu comme un certificat SSL non signé.

Sinon, un n-ième fork verra probablement le jour, et il se pourrait bien que ça soit le bon pour moi ; faute d'une meilleure alternative en tout cas.

PS : La phase de transition est prévue pour le deuxième trimestre 2015.

5 commentaires

#1 - Yoric - 12 février 2015 @ 18:28 :

Pour info : mon expérience en examen post-mortem et en support technique est que les utilisateurs de Firefox sont saturés d'extensions bidons, installées en douce non seulement par les barres d'outils malwares bien visibles, mais aussi par des anti-virus, anti-malwares, ou autres moteurs de recherche ayant pignon sur rue, théoriquement recommandables mais qui ne se gênent pas pour injecter des saletés dans Firefox. Les gens ne sont pas au courant (pourquoi le seraient-ils ?) et tous ces injecticiels font ralentir, planter et crasher Firefox à une fréquence ahurissante, sans compter les failles de sécurité, les détournements de recherche, etc.

Maintenant, effectivement, si tu décides de prendre le risque, je suis certain qu'il y a moyen de faire une extension pour désactiver cette sécurité :)

#2 - Arthur Hoaro - 12 février 2015 @ 21:36 :

@Yoric : je comprends ton point de vue, et je me doute bien que c'est la raison qui pousse Mozilla à agir de la sorte. Mais je n'approuve pas pour autant. Déjà parce que selon les communications qui ont actuellement été faites, il n'est pas prévu de pouvoir désactiver cette sécurité - et dans tous les cas pas par le biais d'une extension, c'est là le vif du sujet. D'autre part, les extensions dont tu parles produites par les Avast, Skype et consorts et qui s'installent silencieusement feront simplement signer leurs extensions. Elles ne sont pas "nuisibles" en tant que telle, pas de raison de la part de Mozilla de les refuser donc.

Enfin, il est vrai que ça peut régler le compte de pas mal d'"extensions malware" pour les utilisateurs lambda...

#3 - matheod - 13 février 2015 @ 18:29 :

Je copie un message que j'ai envoyé autre part.

"Des remarques supplémentaires à propos de ça :
Bon je mets de côté le fait que Mozilla aura droit de vie et de mort sur les extensions, et qu'on se demande bien ce qu'il va se passer quand des sociétés abuseront de leurs "droits" pour faire retirer des extensions.

Je vois plusieurs gros problèmes.

Déjà, le temps ! Bon ça s'est peut être amélioré depuis je sais pas, mais en tout cas les délais pour se faire accepter une extension sont très long (ça peut se compter en mois). Alors maintenant si toutes les extensions doivent passer par ce processus je n'imagine pas le délai. Et cela vaut aussi pour les mises à jours. Si maintenant on doit attendre un mois entre chaque mise à jours d'extension, ça va être super. D'ailleurs ça pose des soucis, notamment quand une faille est découverte dans une extension (open source par exemple), puis corrigé immédiatement, et que les utilisateurs doivent attendre un mois avant d'avoir le correctif, temps pendant lequel ils sont vulnérables.

Ensuite (je suppose que ça n'a pas changé non plus), mais ils sont très chiant au niveau du code. Par exemple dès qu'ils voient un .innerHTML ils crient (la plupart du temps) au scandale et refuse l'extension même s'il n'y a aucun risque. Et ils font chier pour pleins d'autres choses aussi. Tout ça pour une sécurité très relative vu qu'il restera probablement des failles non détecté par leur équipes de vérification.

Le pire c'est que pas mal d'extensions malveillantes sont installés suite à l'exécution d'un exécutable, donc bon si l'exécutable peut installer une extension, il peut aussi s'en passer pour faire son "bordel". Donc encore une fois sécurité très relative.

Enfin bref, ça me désole de voir que Mozilla tombe dans ce travers. Jusqu'à présent je me disais qu'ils étaient là pour rattraper l'erreur qu'avait faite chrome (I.e. verrouiller les extensions également), mais finalement non. Très déçu de Mozilla.

J'espère qu'ils changeront d'avis :/"

#4 - Atzerkins - 20 mai 2015 @ 19:40 :

L'idiotie des autres doit-il me priver de liberté ? Ha, non merci.

Firefox étant chez moi très peu performant depuis FF29, j'ai décidé d'installer un fork ( palemoon ) à la place, histoire aussi de ne pas avoir les nouveautés, comme ce nouveau thème tout moisi, et toutes le bloatware qui ne fait que se rajouter au fil des versions.

Ce qui m'étonne particulièrement, néanmoins, c'est que d'un côté on a quand même pas mal de monde qui gueule sur le gouvernement ( toujours pas assez ) pour la liberté, mais de ce que j'ai vu, cela ne gène absolument pas que Mozilla ait bientôt un contrôle total sur les extensions et l'idée semble-même plutôt bien acceptée. Pour comparer, je les qualifierais l'équivalent des " Je m'en fous, j'ai rien à cacher ".

#5 - Mes Zoreilles - 01 décembre 2015 @ 21:33 :

####FLAME####
Le refus de Firefox de me laisser accéder à une page pour une question de certificat non conforme m'a donné envie de le débarquer ex-abrupto de mon ordi !
J'ai une toute autre conception du libre arbitre...
Je me suis - pour l'instant - contenté d'utiliser IE, chose que j'avais oubliée depuis des années.
Mais le mal est fait, j'ai comme qui dirait perdu la foi en ce programme, bravo Mozilla, pour prendre tes utilisateurs pour des irresponsables.
Un salut à tous les mécontents de tout poil...

Écrire un commentaire

Quelle est la dernière lettre du mot yzuct ? :