Une extension Firefox a été prise à siphonner l'historique de navigation de ses 220 000 utilisateurs,
après avoir bénéficié d'un coup de cœur de l'équipe Mozilla
Une extension populaire de Firefox enregistre secrètement l'historique de navigation des utilisateurs, selon les rapports de l'auteur du bloqueur de publicité d'uBlock Origin et de Mike Kuketz, un blogueur allemand spécialisé dans la confidentialité et la sécurité.
L'extension en question s'appelle Web Security et est actuellement installée par 221 467 utilisateurs de Firefox, selon le portail officiel des modules complémentaires de Mozilla.
Pourtant, selon sa description, Web Security « est une extension sophistiquée de navigateur qui utilise une technologie de protection en temps réel avancée ainsi qu'une base de données étendue pour empêcher les sites Web de nuire à votre ordinateur ou d'obtenir vos données sensibles ».
Le coup de pouce qui met la lumière sur le mécanisme
Son nombre élevé d’installations peut être en partie dû à un billet publié par Mozilla la semaine dernière et intitulé « Faites de votre navigateur Firefox une superpuissance de confidentialité avec ces extensions » où l’équipe a fait une liste d’extensions qu’elle recommande aux utilisateurs et dans laquelle figurait Web Security.
Quelques heures après la publication du billet de Mozilla, Raymond Hill, l’auteur du bloqueur de publicité d’uBlock Origin, a souligné que l’extension présentait un comportement étrange : « Avec cette extension, je vois que pour chaque page que vous chargez dans votre navigateur, il y a un POST sur http://136.243.163.73/ » a expliqué Hill. « Les données postées sont brouillées, peut-être que quelqu'un aura le temps d'approfondir l’enquête ».
Quelques jours plus tard, Kuketz, un blogueur allemand populaire, a publié un article sur le même comportement. Et les choses se sont enchaînées. Un utilisateur a réussi à décoder les données « brouillées », révélant que l’extension envoyait secrètement l'URL des pages visitées à un serveur allemand.
Dans des circonstances normales, un module complémentaire Firefox qui doit analyser les menaces peut être autorisé à vérifier les URL qu'il analyse sur un serveur distant, mais en fonction du format des données envoyées par le module complémentaire au serveur distant, Web Security. semble enregistrer plus que l'URL actuelle.
< id|35237841|id >< hash|1|hash >< app|web_security|app >< agent|FF|agent >< app_data|;< oldUrl;|http://blog.fefe.de/;|oldUrl; >;< newUrl;|https://www.kuketz-blog.de/;|newUrl; >;< oldHost;|blog.fefe.de;|oldHost; >;< newHost;|www.kuketz-blog.de;|newHost; >;< hash;|67918192;|hash; >;< language;|de;|language; >|app_data >
Les données montrent que l’extension piste des utilisateurs individuels tout d’abord en les marquant par un identifiant, ensuite en enregistrant leur modèle de navigation mais aussi comment ils sont passés d'une "oldUrl" à une "newUrl".
Un modèle excessif de consignation
Ce modèle de consignation est un peu excessif et va à l'encontre des directives de Mozilla concernant les extensions, qui interdisent aux modules complémentaires de consigner l'historique de navigation des utilisateurs.
Lorsque vous ouvrez une page potentiellement malveillante ou dangereuse, l'extension vous prévient
Un porte-parole de Creative Software Solutions a fourni la déclaration suivante promettant d’enquêter davantage sur le problème :
« L'addon Web Security est, comme son nom l'indique, un addon de sécurité, qui protège l'utilisateur des sites Web abusifs pour protéger ses données et sa vie privée. Nous ne voulons pas que les sites suivent et volent les données des utilisateurs ou l'historique de navigation. L'un des aspects de la sécurité comprend la vérification du site demandé par rapport à une liste noire globale. Ainsi, la communication entre le client et nos serveurs est inévitable, tandis que nous conservons un minimum absolu et ne journalisons pas cette communication. Nos serveurs sont tous situés en Allemagne, nous sommes donc liés par le RGPD et nous nous limitons à traiter les données pour les raisons spécifiées.
« Notre extension a également été traitée par le personnel de vérification rigoureux de Mozilla, qui a spécifiquement approuvé toutes les communications. Toutes les données transférées doivent communiquer de manière sécurisée, mais comme nous prenons ces problèmes de confidentialité très au sérieux, j'ai déjà informé les développeurs pour qu'ils examinent le problème, pour effectuer une vérification et une amélioration où cela est possible ».
Une extension qui est toujours disponible
Rappelons que Mozilla a supprimé de son portail deux modules complémentaires qui présentaient un comportement similaire, notamment Stylish et Web of Trust. Mais à l’heure de la rédaction de ces lignes, l’extension est toujours disponible sur le portail. Néanmoins, Mozilla a retiré la mention de cette extension de son billet de blog.
Les ingénieurs de Mozilla examinent généralement les extensions présentant un comportement suspect et les interdisent si nécessaire. Ce processus prend généralement quelques jours, comme c'était le cas avec Stylish.
Source : portail des extensions, billet de blog Kuketz
Et vous ?
Connaissiez-vous Web Security ? L'avez-vous déjà utilisé ? Qu'en pensez-vous ?
Les affirmations du porte parole de son éditeur suffisent-elles à vous convaincre ?
Voir aussi :
Thunderbird 60.0 : le client de messagerie libre fait peau neuve avec le design Photon de Firefox, et supporte la norme d'authentification FIDO U2F
Firefox : Mozilla lance l'extension Advance pour recommander des contenus aux internautes en fonction de leur activité de navigation
Firefox : des chercheurs en sécurité inquiets au sujet du mécanisme de résolution d'adresse DNS qui s'appuie par défaut sur les serveurs Cloudfare
Comme Firefox et Chrome, Microsoft Edge se dote du support de WebAuthn, la norme de sécurité visant à mettre fin aux mots de passe sur le Web
Mozilla veut de nouveaux logos pour Firefox et d'autres produits de la marque et sollicite l'avis des utilisateurs pour mener à bien cette tâche
Partager