IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Expert éminent sénior
    Avatar de Idelways
    Homme Profil pro
    Développeur Ruby on Rails / iOS
    Inscrit en
    juin 2010
    Messages
    1 374
    Détails du profil
    Informations personnelles :
    Sexe : Homme

    Informations professionnelles :
    Activité : Développeur Ruby on Rails / iOS

    Informations forums :
    Inscription : juin 2010
    Messages : 1 374
    Points : 68 494
    Points
    68 494
    Par défaut Vie privée : le problème de traçage refait surface sur Firefox avec une extension téléchargée 7 millions de fo
    Firefox : l'extension Ant Video Downloader trace les utilisateurs
    Son développeur refuse de s'expliquer, Mozilla retire l'extension aux 7 millions de téléchargements



    Une extension populaire du navigateur Firefox collecte secrètement, et sans l'aval de l'utilisateur, son historique de navigation et les relie à un identifiant unique soupçonné de tracer l'utilisateur à de fins non identifiés, d'après un chercheur en sécurité.

    Il s'agit (ou s'agissait puisqu'elle vient d'être retirée) de l'extension Ant Video Downloader, destinée à télécharger et visualiser les vidéos FLV, MP4, OGG et autres, trouvés sur les sites comme YouTube ou Vimeo.

    Son cas est d'autant plus préoccupant que cette extension ne respecte pas « l'intimité » des utilisateurs même lorsqu'ils choisissent de surfer en mode « Navigation privée » ou de passer par le réseau décentralisé de routeurs Tor, afin de rendre anonymes toutes leurs transactions.

    La présence d'une telle extension (open source) sur une galerie de Mozilla, pourtant soumise à validation, soulève des interrogations sur la pertinence des mesures de sécurité de cette plate-forme.

    Si l'argument souvent avancé en faveur du logiciel libre réside dans la possibilité d'analyser le code contre toute tentative de faire passer du code malicieux, comment expliquer qu'une telle menace potentielle sur la vie privée des utilisateurs n'ait pu être débusquée avant ?

    Mozilla explique par voie de presse que la collecte des données de navigations ne viole pas forcément les conditions d'utilisation de sa galerie, et que toutes extensions qui ne portent pas la mention « expérimentale » sont jugées respectant les critères d'admission.

    Parmi ces critères, la nécessité d'expliquer « clairement aux utilisateurs les risques auquels ils peuvent s'exposer [en utilisant l'extension] et quelles mesures ils peuvent prendre pour se protéger ».

    Une mesure que Ant Video Downloader ne respecte justement pas, ce qui amène la fondation à la suspendre en attendant que son développeur corrige ce problème.

    D'après Mozilla, cette extension collecte des données sur les sites visités afin d'améliorer sa fonctionnalité de classement (ranking) qu'elle affiche aux utilisateurs.
    Des données qui pourraient être utilisées en outre pour améliorer la pertinence des résultats du moteur de recherche Ant.com, appartenant à l'éditeur de cette extension qui se refuse toujours à s'expliquer sur cette affaire.

    Le chercheur indépendant en sécurité Simon Newton a découvert l'existence de ce traçage fortuitement, en diagnostiquant un problème apparu durant le développement d'une application Web.
    En lançant un renifleur de paquet, Simon Newton a découvert que les informations sur toutes ses requêtes HTTP (et pas seulement celles des sites de partage vidéo) sont transmises au serveur rpc.ant.com,

    Ces informations comportent les adresses des sites visités, l'heure, les détails du navigateur et plusieurs cookies persistants qui portent un identifiant universel unique (UUID).


    Cette extension est toujours disponible sur le site de son éditeur et existe aussi pour Internet Explorer, avec probablement le même comportement.

    Sur Firefox, elle a été téléchargée 7 millions de fois avant sa suspension.

    ATTENTION : Ant Video Downloader et Video DownloadHelper (90 millions d'installations) sont deux extensions différentes

    Source : blog de Simon Newton, critères d'admission des extensions sur Mozilla

    Et vous ?

    Que pensez-vous de cette découverte ?
    Et des mesures de sécurité de la galerie d'extensions de Firefox ?

  2. #2
    Membre habitué
    Avatar de baxou087
    Profil pro
    Développeur COBOL
    Inscrit en
    mai 2010
    Messages
    49
    Détails du profil
    Informations personnelles :
    Âge : 33
    Localisation : France

    Informations professionnelles :
    Activité : Développeur COBOL

    Informations forums :
    Inscription : mai 2010
    Messages : 49
    Points : 126
    Points
    126
    Par défaut
    Comme quoi, encore une fois :

    Open Source ne veux pas dire exempt de cochonneries.
    A force de trop vouloir avancer on en oublie d'être idiot

    Ne m'en veuillez pas pour les fautes d'accentuation, mais Qwerty oblige et j'aime Qwerty


    La douleur de la colere ne se situe pas dans la peur, mais plutot dans ce qu'on ne peut accepter.

  3. #3
    Membre du Club
    Homme Profil pro
    Inscrit en
    août 2003
    Messages
    36
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France

    Informations forums :
    Inscription : août 2003
    Messages : 36
    Points : 42
    Points
    42
    Par défaut
    Elle n'est pas (ou plus) retirée:
    https://addons.mozilla.org/en-US/fir...loader-player/

  4. #4
    Membre chevronné
    Avatar de Kiiwi
    Inscrit en
    février 2011
    Messages
    486
    Détails du profil
    Informations forums :
    Inscription : février 2011
    Messages : 486
    Points : 1 852
    Points
    1 852
    Par défaut
    Citation Envoyé par le merou Voir le message
    Disponible en téléchargement "expérimental".

    si j'en crois l'article, les modules complémentaires passent outre les critères d'admissions lorsqu'ils sont en mode expérimental.


    Sinon regardez les derniers commentaires ... sa note devrait vite diminuer si ça continue, ce qui entrainera moins de téléchargements
    Utilisez des moteurs de recherche solidaires. Parmi ces moteurs de recherche:
    Nouvelle version (aout 2013!) : http://ecosia.org Algorithme de recherche: très performant. 80% des revenus générés sont reversés au programme Plant A Billion Trees. Neutralité carbone pour les recherches Voir http://www.ecosia.org/what
    http://ecogine.org , même résultats que GOOGLE, revenus reversés à des assos écologiques. Voir http://ecogine.org/about/

  5. #5
    Membre chevronné

    Profil pro
    Inscrit en
    décembre 2003
    Messages
    3 995
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : décembre 2003
    Messages : 3 995
    Points : 2 214
    Points
    2 214
    Par défaut
    Personnellement, je note deux choses, en allant sur http://www.ant.com/video-downloader :

    • bien que l'apect open-source soit effectivement proclamé dès la première page, même en cherchant bien, je n'ai pas trouvé les sources
    • on peut lire très clairement "vérifié par Norton et McAfee". Chapeau Norton et McAfee...

  6. #6
    Membre averti
    Homme Profil pro
    Développeur Java
    Inscrit en
    mai 2007
    Messages
    132
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 39
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Développeur Java
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : mai 2007
    Messages : 132
    Points : 416
    Points
    416
    Par défaut
    J'avais supprimé cette extension sur le pc de ma copine il y a quelques temps déjà

    Déjà j'avais trouvé bizarre qu'un moteur de recherche fasse un plugin pour télécharger des videos (a quand un bing/yahoo! video downloader ) mais à la limite pourquoi pas.

    Par hasard, j'avais remarqué que le user-agent avait été modifié en un truc du style "...Firefox/3.x powered by ant.com". Pour moi louche -> poubelle.

    Même si, personnellement, je limite au strict minimum ce genre d'extensions sur mon installation, je me vois mal aller éplucher le code source de chaque de chaque logiciel ou plugin open-source qu'elle installe (pas que ça à faire non plus).

    Maintenant c'est limite si je lance un wireshark ou tpcdump quand je vois qu'elle à ajouté une nouvelle extension

    A+

Discussions similaires

  1. Le malware XDOR.DDOS refait surface sur la plateforme Linux
    Par Olivier Famien dans le forum Sécurité
    Réponses: 13
    Dernier message: 11/02/2015, 17h56
  2. Réponses: 0
    Dernier message: 20/05/2011, 11h48
  3. problème mise en page, tab 3 colonnes dont une extensible
    Par Ekimasu dans le forum Balisage (X)HTML et validation W3C
    Réponses: 3
    Dernier message: 05/06/2007, 18h23
  4. Réponses: 10
    Dernier message: 04/05/2007, 09h05
  5. Réponses: 4
    Dernier message: 13/02/2006, 11h13

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo