La Fin des Barres d’outils et extensions malveillantes (?)

  1. Accueil
  2. Actualités
  3. La Fin des Barres d’outils et extensions malveillantes (?)

Cela fait maintenant de longues années que les barres d’outils et autres extensions douteuses envahissent nos navigateurs.

Autant de spywares qui causent beaucoup de mal : Difficultés pour les supprimer, navigation ralentie…et si ce n’était que ça.

Et bien sachez que leur fin est proche.

finbarresdoutiles

Firefox va interdire par défaut les extensions non signées

Depuis la version 40 de Firefox, datant du 11 août 2015, Mozilla annonce qu’un avertissement sera affiché pour toutes les extensions non signées. Et pour la version 42 prévue cette fois pour début novembre, les extensions seront par défaut bloquées si elles ne sont pas signées. Et cela pour toutes les versions de Firefox à l’exception de celles prévues pour les développeurs qui auront la possibilité de désactiver le blocage par défaut.

EDIT : C’est à présent officiel, Mozilla Firefox et Google Chrome (entre autres) ont mis en place des procédures de vérification d’extensions.

Pour faire signer son extension, le développeur devra s’inscrire sur le site prévu pour afin de faire valider son extension en vue d’obtenir une signature numérique. De quoi stopper les extensions indésirables pour de bon.

Voici une capture d’écran ou l’on aperçoit des extensions signées :

addonssigned

Les informations additionnelles sur les signatures d’extensions sont sur le wiki de mozilla (en anglais).

Bonne ou mauvaise nouvelle ?

Ce changement est bien entendu une bonne nouvelle pour la vie privée et la sécurité des internautes.

Les extensions malveillantes s’installent de deux manières principales :

  • En installant un programme sans décocher la case du type « Installer la barre d’outils… »
  • En installant une extension volontairement pour profiter d’une fonctionnalité telle que « Télécharger des vidéos Youtube », « Voir des vidéos en streaming » ou encore « Afficher la météo du jour » (liste absolument non exhaustive) alors que l’extension ne fait pas que ça…

Toutes les extensions ne sont pas malveillantes pour autant, mais sans observer le code source de l’extension concernée (ou les avis et sa popularité) il n’est pas possible de savoir si l’extension fait plus que ce que promet sa description ou non.

Ces extensions malveillantes sont créées pour deux buts principaux :

Le deuxième but est très populaire, il s’agit notamment d’afficher de la publicité et des liens affiliés sur les pages web.

Certaines extensions sont des véritables outils d’espionnage et de prise de contrôle avancés permettant de modifier à la volée des sites afin de modifier des liens/publicités/images/etc…

On n’imagine probablement même pas toutes les possibilités offertes par de telles extensions…

Cependant…

Du côté des développeurs cette restriction pose pas mal de problèmes.

  • Tout d’abord elle s’oppose aux principes de la communauté open source que Firefox est supposé représenter : Une entreprise aura le pouvoir de contrôler les extensions qu’on souhaite installer.
  • Un autre problème majeur se pose pour les vieilles extensions abandonnées mais encore utilisées qu’il faudra soit recréer et signer, soit abandonner.
  • Le développement d’extensions sera plus lent voir arrêté par beaucoup de développeurs.

Pour débattre sur le sujet, un espace de discussion a été mis en place.

Et pour les autres navigateurs ?

Cette volonté de contrôler les extensions n’est pas nouvelle, Google Chrome effectue déjà des vérifications plus ou moins automatiques concernant les extensions que les développeurs publient.

Avec la sortie de Windows 10, on suppose que le successeur d’Internet Explorer, Microsoft Edge, proposera lui aussi des fonctionnalités concrètes pour veiller à la vie privée des internautes, du moins on l’espère…

Et sinon…

Si votre navigateur subi actuellement des petits soucis de publicité ou de lenteur, je vous conseille d’observer les extensions installées et de supprimer ce qui ne semble pas légitime (notamment celles non marquées comme signées).

Pour observer les extensions installées, vous pouvez taper :

about:addons

Dans la barre d’adresse si vous utilisez Firefox.

Ou :

chrome://extensions/

Si vous utilisez Chrome.

Les antivirus font leur maximum pour vous protéger également. Mais vous pouvez bien entendu utiliser le logiciel dédié AdwCleaner pour nettoyer les programmes indésirables de façon automatisée :

https://toolslib.net/downloads/viewdownload/1-adwcleaner/

Ou encore BrowserCleaner. Attention, BrowserCleaner vous proposera d’installer des logiciels partenaires que vous devrez décliner si vous ne voulez pas installer d’autres programmes en voulant justement nettoyer ceux qui sont indésirables.

EDIT: En fait, je ne propose même plus BrowserCleaner car il amène plus de logiciels indésirables qu’il n’en apporte.

Photo de abraham.williams

Lecture additionnelle :

Au sujet du processus : https://wiki.mozilla.org/Add-ons/Extension_Signing

Pour les développeurs : https://developer.mozilla.org/en-US/docs/Mozilla/Add-ons/AMO/Policy/Reviews

Comment les extensions malveillantes fonctionnent : Piratages via les extensions de navigateur malveillantes

Articles similaires

12 Commentaires
Cliquez ici pour ajouter un commentaire

  • Voilà ce qui peut paraitre un bon sentiment: écartez les extensions mal écrite ou qui sont volontairement écrite pour s’introduire dans notre vie privée.
    Mais qui est révélateur de l’évolution de l’économie numérique dont le seule but est de devenir plus gros que les plus gros.
    Je doute qu’en la matière Microsoft soit un modèle, ni un exemple !!!
    C’est une mauvaise nouvelle que Mozilla s’aligne sur le modèle de Microsoft.
    Merci pour ces info.

    Répondre
  • Article intéressant!

    une autre question se pose : cela empêchera vraiment les extensions malveillantes? comment peut on savoir si l’extension n’est pas avec une « fausse » signature ?

    Répondre
  • merci bcp pour l’information pertinente

    Répondre
  • Article intéressant, comme toujours.

    En effet, les améliorations à venir dans Firefox sont assez sympa, notamment la suppression d’Adobe flash player.

    Merci, Michel !

    Répondre
  • Merci pour cet article.
    Les extensions ne sont pas les seuls menaces, en effet certains programmes peuvent « hooker » le processus de firefox ou des autres navigateurs. C’est le cas du trop célèbre ZeuS, qui (entre beaucoup d’autres) peut injecter du code dans les pages web affichées dans le navigateur. Ce programme a pour but d’intercepter les identifiants bancaires, mais certains programmes sont certainement capable d’injecter des pub dans toutes les page web.

    Répondre
    • Tout à fait ! Merci pour la précision même si je pense que l’injection de code relève plus souvent d’une faille dans un programme que de l’installation « volontaire » et « normale » d’extensions.

      Répondre
  • […] en avons déjà parlé ici, il s’agit d’extensions qui modifient dynamiquement le contenu des pages web. […]

    Répondre
  • […] Ceci est possible, car n’importe qui peut programmer des extensions de navigateurs, et que celles-ci offrent un énorme contrôle sur les sites visités. Elles peuvent lire et modifier chaque page web visitée. Et elles sont donc à installer avec une extrême méfiance. Même si des efforts sont à présent faits du côté des éditeurs de navigateurs pour exercer une certaine vérification sur ces extensions. Plus d’informations ici. […]

    Répondre
  • […] Plus d’informations ici : les extensions de navigateurs malveillantes. […]

    Répondre
  • […] La Fin des Barres d’outils et extensions malveillantes (?) […]

    Répondre
  • salut michel

    Répondre
  • salut michel sympas le sujet des barre d’outils . trop de barres d’outils ! des dizaines d’espions et plus de place pour travailler
    a quoi servent-elles ? les éditeurs des barres d’outils se livrent à une véritable guerre pour occuper le terrain et tous les

    moyens sont bon pour y parvenir. depuis la rémunération des développeurs d’applications gratuites jusqu’à l’implantation
    de force en passant par convaincre l’internaute de l’utilité vitale du truc.

    les barres d’outils sont des composants logiciels des programmes accueillis à l’intérieur des navigateurs internet par un
    mécanisme prévu à cet effet voir btho browser helper object le développement de ces mécanismes part de l’idée

    que de nombreux intervenants peuvent enrichir les navigateurs. les barres d’outils étaient donc censées apporter
    initialement de nouvelles fonctionnalité ou services réputés utiles mais la réalité est bien différente.

    ces inutilités qui vous veulent du mal ?

    la totalités des fonctionnalités prétendument apportées par les barres d’outils existent déjà et sont déjà accessibles
    simplement par les voies normales les fonctionnalités ou services des barres d’outils ne sont ni nouveaux ni utiles.

    les barres d’outils ne sont que des hypocrisies masquant une part importante du web caché.
    les barres d’outils sont du code injecté dans les navigateurs web. hostile intrusif espion malicieux infectieux etc.

    elle sont développées de manière frénétique et tout le monde cherche à s’incruster dans les navigateur web.
    mais pourquoi sont elles des produits d’attaques hostiles. ?

    à cela il y a deux raisons. elle permettent le tracking aux fins de profiling.

    l’économie de l’internet

    sont modèle économique repose sur la publicité. or la publicité est plus efficace si elle sait individuellement
    qui est en face d’elle guid – identificateur unique. pour vous individualiser.

    détermination des désirs des niveaux des centres d’intérêt actuels. établissement des profils etc. cela permet de se
    rapprocher des quatre règles de l’adage publicitaire. le publiciste et le besoin impérieux d’espionner.

    l’adage du publiciste les quatre règles est délivrer le bon message publicitaire à la bonne personne au bon moment
    par le bon canal.

    cela implique de parfaitement connaître la personne donc de l’espionner. or tout le modèle économique du web gratuit
    repose sur la publicité donc tout le web n’est qu’un immense système d’espionnage.

    auquel les 11 septembre 2001 aux usa et 7 janvier 2015 en france. ont ajouté une couche de justification légale
    voire démocratique du recul de la notion de vie privée. conduisant à prism et compagnie.

    facebook ignore la vie privée et est fait pour vous inciter à vous étaler publiquement à avoir une vie publique.
    le seul but de facebook et d’ainsi tous savoir de vous et parfaitement vous profiler.

    l’espionnage de vos cercles de connaissances affine votre propre profil et google première régie publicitaire
    au monde par la voix de son président larry page a déclaré par écrit le 5 avril 2012 que connaître découvrir et piller

    vos cercles de connaissances est une nécessité. vous êtes même sollicité pour faire vous même très précisément
    et totalement gratuitement votre profil réseau sociaux site de rencontres etc.

    cela leur évite d’avoir à dépenser des fortunes en logiciels et techniciens très coûteux pour y parvenir.
    comme avec riot le google des vies privées ou le data mining ou la mise en place de tia tout capturer tout savoir

    sur quelqu’un etc. on vous offre même gratuitement votre profil lorsque vous vous mettez tout nu en vous étalant
    dans des milliers de questionnaires à la proust ou des sites de rencontre que croyez vous qu’ils fasse de tout ce que vous

    révélez où avouez ? ils ne sont que trois à être capables de développer un système d’exploitation et un navigateur web
    microsoft apple et google les barre d’outils permettent à tout ceux qui sont incapables d’occuper le premier cercle du

    pouvoir incapables de développer et déployer un système d’exploitation et/ou un navigateur web d’être malgré tout
    présent dans ce pilier du premier cercle qu’est le navigateur web de l’internaute. grâce à cela on ne peut pas

    être au plus près de l’internaute. les barres d’outils pénètrent par la grande porte. dans le produit communiquant par
    excellence le navigateur web.

    bien sûr tous cela pour faire de l’argent voir aussi avec un moteur de recherche menteur.

    Répondre

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *

Vous devez remplir ce champ
Vous devez remplir ce champ
Veuillez saisir une adresse e-mail valide.

Menu