Discussion :

[Stéphane le calme]

Mozilla et Google retirent l'extension WOT de leur store,
après un scandale concernant la collecte et la vente des données personnelles de ses utilisateurs

WOT (ou Web of Trust) est un logiciel gratuit de sécurité développé par la firme WOT Services basée à Helsinki en Finlande. Il prend la forme d'un plugin ou extension pour navigateur web (Mozilla Firefox, Google Chrome) qui renseigne l'utilisateur sur la réputation des sites Web avant que celui-ci n'y accède. WOT affiche, en regard de chaque lien (texte ou image) renvoyé par le moteur de recherche, un indicateur de la fiabilité du site concerné. Cet indicateur prend la forme d'un cercle dont la couleur va du vert (fiable) au rouge (dangereux). Le système repose sur le crowdsourcing, c'est-à-dire sur les avis émis par la communauté des utilisateurs de WOT. Lorsqu'un site n'a pas encore été noté par les utilisateurs de WOT, l'indicateur de fiabilité est gris, ce qui n'indique pas un danger mais reflète le fait que ce site est peu fréquenté.

Il n’aura pas fallu longtemps à Mozilla et Google pour retirer cette extension de leurs vitrines en ligne après des rapports qui ont fait surface dans les médias allemands, notamment le NDR (Northern German Broadcasting) ou sur la chaîne Das Erte dans l'émission Panorama, et qui indiquent que les éditeurs de WOT ont collecté et vendu l’historique de navigation des utilisateurs sans même prendre la peine de les anonymiser contrairement à ce qu'elle affirme.

Un audit effectué par d’autres chercheurs à l’instar du chercheur allemand Mike Kuketz ou de Rob Wu, a permis de réaliser que les dommages causés par WOT auraient pu être plus sévères. En effet, le plugin peut exécuter du code arbitraire sur n’importe quelle page. L’impact et la sévérité de ce problème ont été catégorisés comme étant critiques étant donné que WOT pouvait faire n’importe quoi, allant du vol d’identifiants bancaires à l’installation d’un logiciel malveillant sur la machine de l’utilisateur. Rob a tout de même précisé que, lors de ses analyses, il n’a pas vu cette fonctionnalité utilisée.

Sur son forum, WOT a indiqué respecter la vie privée de ses utilisateurs et s'efforcer d'anonymiser les données collectées. En revanche, le quotidien Allemand FAZ a réussi à avoir un porte-parole de Mozilla qui a expliqué que la fondation a retiré cette extension parce qu'elle ne respecte pas la politique de transparence en matière d'informations apportées aux utilisateurs sur les données collectées. En parcourant la politique de confidentialité de WOT, vous pouvez lire que le plugin recueille les informations suivantes : les adresses IP, les emplacements géographiques, les types de périphériques, le système d'exploitation et le navigateur, les date et heure, l'utilisation de la navigation, y compris les pages Web visitées, les dates de clics ou l'adresse Web consultée, l'identifiant du navigateur et l'ID utilisateur.

Bien entendu ceux qui ont déjà l'extension installée peuvent continuer à s'en servir.

Source : tests de Rob Wu (GitHub), Bugzilla, politique de confidentialité WOT, FAZ

Et vous ?

Êtes-vous un utilisateur de WOT ? Qu'en pensez-vous ?

Les extensions sont-elles une grave faille de sécurité pour la confidentialité de votre vie privée ?

[transgohan]

Bien entendu ceux qui ont déjà l'extension installée peuvent continuer à s'en servir.

Je l'avais installé il y a quelques années sur l'un de mes PCs.
Je vais sans aucun doute la désinstaller au vue de ces news.

[jumpers]

clairement, j'utilise l'extension WOT depuis pas mal d'années maintenant, je l'ai conseillé a pas mal d'amis, mais pour le coup, elle vire rekt, car il y a clairement abus de confiance, et un site dans lequel on ne peut avoir confiance, qui analyse la fiabilité d'autres sites, c'est un peu l'hopital qui se fout de la charité...

[Bubonik software]

C’est catastrophique, car cela fait des années que nous (les utilisateurs de WOT – ou plutôt ex-utilisateur en ce qui me concerne) enrichissons une base de données de réputation de grande qualité qui ne nous appartient pas, ce qui veut dire qu’en supprimant WOT, nous nous privons d’un truc que nous avons nous-mêmes construit. J’attends impatiemment qu’une alternative libre soit publiée : quel meilleur exemple que celui-là pour illustrer les dangers du propriétaire ? Et attention, je ne dis pas que tous les projets propriétaires finissent ainsi (heureusement que non). J’aimais beaucoup WOT. C’est dégueulasse.

[Francois_C]

Moi qui ne suis qu'un programmeur amateur, j'ai eu cette extension installée quelques jours il y a longtemps, puis je l'ai désinstallée après avoir examiné un about:config dans Firefox. J'avais essayé d'alerter certains forums. Je ne crois pas que la désinstallation supprime la grande quantité de liens que crée l'installation du plug-in.

[tes49]

Salut

Je l'ai testé pour moi-même (en plus de l'entraide pour Firefox), il y à déjà bien des années... Je l'ai pas gardé, car j'ai souvent vu des avis incohérents et montrant parfois simplement le coup de grogne (était-ce des vrais avis ?) de certaines personnes...
En ce qui concerne les 15-20 boutiques web connues ou pas du tout (seulement en France), où j'ai acheté, je me suis fait mes avis tout seul, ou pris l'avis de personnes que je connais et aux-quelles, je connais les arguments...
Certaines personnes descendent des boutiques web très connues et où de très nombreuses personnes n'ont aucun problèmes. Bien sur cela est la même chose avec certains sites "d'avis"...

Bref à mon avis, ce n'est pas une extension bien utile, en plus qu'il existe des sites "d'avis"... et un peu de recherches sur le web, fait découvrir...

[jpbovee]

Ce plug-in n'apportait pas grand chose de facto aux utilisateurs un rien avertis.
Par contre il apportait beaucoup à l'entreprise qui a, en toute déloyauté, pillé les informations personnelles des utilisateurs.

S'il y avait des class-actions en Europe ils pourraient s'inquiéter. Mais nous sommes dans des pays où chaque élection voit promettre la mise en place des class-actions et chaque fin de législature sa non mise en place: les lobbies on ont la vie dure et plus d'influence que les citoyens (la commission européenne est là pour les aider, bien fidèlement: il y des postes à prendre après la fin de service).

Comme l'a dit un intervenant sur ce forum, vivement la mise en place de solutions libres. A ce titre je ne sais s'il existe un "ranking" des applications libres, mais, tout comme pour le bio et le faux bio, ce serait bien de pouvoir s'y retrouver et ce site semble bien approprié pour mettre en place ce genre de classification.

[Muchos]

Un peu sonné par la nouvelle, je viens de désinstaller ce module, auquel j'ai participé plusieurs années et qui m'a toujours été très utile.

Cela dit, j'attends plus de retours sur ces révélations. En effet, si je comprends bien, les problèmes avancés sont:

1. L'anonymisation manquée des données d'utilisateurs, collectées et vendues: ce problème grave a été révélé sur quelle preuve?
2. La possibilité d'exécuter du code arbitraire: Sami Tolvanen, cofondateur de WOT, explique les raisons techniques de ce choix à l'époque de la publication du module (mais admet son inutilité aujourd'hui).
3. La politique de confidentialité: critiquable, indigne de l'écosystème libre, mais accessible et explicite.

Merci d'avance de vos éclaircissements.