Discussion :

[Stéphane le calme]

Une extension Firefox a été prise à siphonner l'historique de navigation de ses 220 000 utilisateurs,
après avoir bénéficié d'un coup de cœur de l'équipe Mozilla

Une extension populaire de Firefox enregistre secrètement l'historique de navigation des utilisateurs, selon les rapports de l'auteur du bloqueur de publicité d'uBlock Origin et de Mike Kuketz, un blogueur allemand spécialisé dans la confidentialité et la sécurité.

L'extension en question s'appelle Web Security et est actuellement installée par 221 467 utilisateurs de Firefox, selon le portail officiel des modules complémentaires de Mozilla.

Pourtant, selon sa description, Web Security « est une extension sophistiquée de navigateur qui utilise une technologie de protection en temps réel avancée ainsi qu'une base de données étendue pour empêcher les sites Web de nuire à votre ordinateur ou d'obtenir vos données sensibles ».

Le coup de pouce qui met la lumière sur le mécanisme

Son nombre élevé d’installations peut être en partie dû à un billet publié par Mozilla la semaine dernière et intitulé « Faites de votre navigateur Firefox une superpuissance de confidentialité avec ces extensions » où l’équipe a fait une liste d’extensions qu’elle recommande aux utilisateurs et dans laquelle figurait Web Security.

Quelques heures après la publication du billet de Mozilla, Raymond Hill, l’auteur du bloqueur de publicité d’uBlock Origin, a souligné que l’extension présentait un comportement étrange : « Avec cette extension, je vois que pour chaque page que vous chargez dans votre navigateur, il y a un POST sur http://136.243.163.73/ » a expliqué Hill. « Les données postées sont brouillées, peut-être que quelqu'un aura le temps d'approfondir l’enquête ».

Quelques jours plus tard, Kuketz, un blogueur allemand populaire, a publié un article sur le même comportement. Et les choses se sont enchaînées. Un utilisateur a réussi à décoder les données « brouillées », révélant que l’extension envoyait secrètement l'URL des pages visitées à un serveur allemand.

Dans des circonstances normales, un module complémentaire Firefox qui doit analyser les menaces peut être autorisé à vérifier les URL qu'il analyse sur un serveur distant, mais en fonction du format des données envoyées par le module complémentaire au serveur distant, Web Security. semble enregistrer plus que l'URL actuelle.

Code :

Sélectionner tout - Visualiser dans une fenêtre à part

< id|35237841|id >< hash|1|hash >< app|web_security|app >< agent|FF|agent >< app_data|;< oldUrl;|http://blog.fefe.de/;|oldUrl; >;< newUrl;|https://www.kuketz-blog.de/;|newUrl; >;< oldHost;|blog.fefe.de;|oldHost; >;< newHost;|www.kuketz-blog.de;|newHost; >;< hash;|67918192;|hash; >;< language;|de;|language; >|app_data >

Les données montrent que l’extension piste des utilisateurs individuels tout d’abord en les marquant par un identifiant, ensuite en enregistrant leur modèle de navigation mais aussi comment ils sont passés d'une "oldUrl" à une "newUrl".

Un modèle excessif de consignation

Ce modèle de consignation est un peu excessif et va à l'encontre des directives de Mozilla concernant les extensions, qui interdisent aux modules complémentaires de consigner l'historique de navigation des utilisateurs.

Lorsque vous ouvrez une page potentiellement malveillante ou dangereuse, l'extension vous prévient

Un porte-parole de Creative Software Solutions a fourni la déclaration suivante promettant d’enquêter davantage sur le problème :

« L'addon Web Security est, comme son nom l'indique, un addon de sécurité, qui protège l'utilisateur des sites Web abusifs pour protéger ses données et sa vie privée. Nous ne voulons pas que les sites suivent et volent les données des utilisateurs ou l'historique de navigation. L'un des aspects de la sécurité comprend la vérification du site demandé par rapport à une liste noire globale. Ainsi, la communication entre le client et nos serveurs est inévitable, tandis que nous conservons un minimum absolu et ne journalisons pas cette communication. Nos serveurs sont tous situés en Allemagne, nous sommes donc liés par le RGPD et nous nous limitons à traiter les données pour les raisons spécifiées.

« Notre extension a également été traitée par le personnel de vérification rigoureux de Mozilla, qui a spécifiquement approuvé toutes les communications. Toutes les données transférées doivent communiquer de manière sécurisée, mais comme nous prenons ces problèmes de confidentialité très au sérieux, j'ai déjà informé les développeurs pour qu'ils examinent le problème, pour effectuer une vérification et une amélioration où cela est possible ».

Une extension qui est toujours disponible

Rappelons que Mozilla a supprimé de son portail deux modules complémentaires qui présentaient un comportement similaire, notamment Stylish et Web of Trust. Mais à l’heure de la rédaction de ces lignes, l’extension est toujours disponible sur le portail. Néanmoins, Mozilla a retiré la mention de cette extension de son billet de blog.

Les ingénieurs de Mozilla examinent généralement les extensions présentant un comportement suspect et les interdisent si nécessaire. Ce processus prend généralement quelques jours, comme c'était le cas avec Stylish.

Source : portail des extensions, billet de blog Kuketz

Et vous ?

Connaissiez-vous Web Security ? L'avez-vous déjà utilisé ? Qu'en pensez-vous ?
Les affirmations du porte parole de son éditeur suffisent-elles à vous convaincre ?

Voir aussi :

Thunderbird 60.0 : le client de messagerie libre fait peau neuve avec le design Photon de Firefox, et supporte la norme d'authentification FIDO U2F
Firefox : Mozilla lance l'extension Advance pour recommander des contenus aux internautes en fonction de leur activité de navigation
Firefox : des chercheurs en sécurité inquiets au sujet du mécanisme de résolution d'adresse DNS qui s'appuie par défaut sur les serveurs Cloudfare
Comme Firefox et Chrome, Microsoft Edge se dote du support de WebAuthn, la norme de sécurité visant à mettre fin aux mots de passe sur le Web
Mozilla veut de nouveaux logos pour Firefox et d'autres produits de la marque et sollicite l'avis des utilisateurs pour mener à bien cette tâche

[Coriolan]

Mozilla supprime 23 extensions Firefox qui ont siphonné les données de plus de 500 000 utilisateurs
de façon malicieuse

Avec Firefox, Mozilla dit œuvrer pour que les utilisateurs gardent le contrôle de leur vie en ligne, c’est pourquoi le navigateur libre est présenté comme étant le champion de la confidentialité. Néanmoins, cela n’empêche pas le navigateur d’être impliqué dans des scandales de collecte de données de temps en temps.

C’est le cas cette semaine d’une extension Firefox prise à siphonner l'historique de navigation de ses 220 000 utilisateurs après avoir bénéficié d'un coup de cœur de Mozilla. L’extension en question s’appelle Web Security et il a été établi qu’elle enregistre secrètement l’historique de navigation des utilisateurs qui l’ont installée.

Après l’éclatement de la polémique, Mozilla a vite réagi en supprimant 23 extensions de Firefox qui ont collecté secrètement les données des utilisateurs. Ces extensions ont été installées par plus de 500 000 utilisateurs. La liste inclut bien évidemment l’extension « Web Security » que Mozilla a mise en avant auparavant.

Selon sa description, Web Security « est une extension sophistiquée de navigateur qui utilise une technologie de protection en temps réel avancée ainsi qu'une base de données étendue pour empêcher les sites Web de nuire à votre ordinateur ou d'obtenir vos données sensibles ».

Après la publication de rapports accablants sur cette extension, l’ingénieur de Mozilla Rob Wu a entrepris d’analyser l’extension et faire une comparaison avec toutes les extensions Firefox disponibles au public. Il a pu trouver des points de ressemblance avec des extensions utilisant un code similaire pour fouiner dans les données des utilisateurs. Il a même établi que toutes ces extensions envoient les données vers le même serveur utilisé par Web Security. Après avoir relayé ces analyses à Mozilla, plusieurs extensions ont été bannies et supprimées du portail de modules complémentaires.

Une page dans Bugzilla inclut la liste complète des extensions supprimées après cette action de Mozilla. Bien que leurs noms ne sont pas listés (seulement leur ID), on sait que parmi les extensions supprimées figure Browser Security, Browser Privacy et Browser Safety.

Une fois bannies, les extensions ne peuvent plus être installées ou utilisées dans Firefox. Les utilisateurs qui les ont installées verront apparaitre une alerte comme celle-ci :

Ce n’est pas la première fois que Mozilla bloque des extensions malicieuses. Pendant des années, des add-ons avec des vulnérabilités ont été aussi bloqués avant d’être supprimés dans la plupart des cas. Cette capacité de Mozilla à intervenir est essentielle pour protéger les utilisateurs en cas de besoin. Néanmoins, les utilisateurs les plus coriaces peuvent toujours désactiver la validation pour exécuter toute extension dans la version Nightly de Firefox.

Après cette purge, on est amenés à se demander comment toutes ces extensions ont pu accéder au portail de Mozilla sans qu’elles soient bloquées en premier lieu. La réponse est simple, tout comme Google, Firefox a choisi d’automatiser le processus de vérification des extensions au lieu de recourir à une vérification manuelle. Résultat, le processus est devenu beaucoup plus rapide, mais avec le risque de voir des extensions malicieuses et invasives de la vie privée figurer dans le catalogue de Mozilla.

De ce fait, certains utilisateurs estiment qu’ils doivent avoir plus de contrôle sur les permissions octroyées aux extensions, surtout que ces modules complémentaires ont facilement accès à des données sensibles comme les informations personnelles, les coordonnées bancaires, les mots de passe, etc. Sans ce contrôle, les utilisateurs ne vont pas avoir de choix que d’accepter à installer les extensions ou bien refuser sans pouvoir faire des ajustements aux permissions accordées.

Source : Bugzilla

Et vous ?

Qu'en pensez-vous ?
Avez-vous déjà utilisé des extensions concernées par cette purge ?

Voir aussi :

Thunderbird 60.0 : le client de messagerie libre fait peau neuve avec le design Photon de Firefox, et supporte la norme d'authentification FIDO U2F
Firefox : Mozilla lance l'extension Advance pour recommander des contenus aux internautes en fonction de leur activité de navigation
Firefox : des chercheurs en sécurité inquiets au sujet du mécanisme de résolution d'adresse DNS qui s'appuie par défaut sur les serveurs Cloudfare
Mozilla veut de nouveaux logos pour Firefox et d'autres produits de la marque et sollicite l'avis des utilisateurs pour mener à bien cette tâche

[Steinvikel]

Après cette purge, on est amenés à se demander comment toutes ces extensions ont pu accéder au portail de Mozilla sans qu’elles soient bloquées en premier lieu. La réponse est simple, tout comme Google, Firefox a choisi d’automatiser le processus de vérification des extensions au lieu de recourir à une vérification manuelle.

Je cite la précédente news (Une extension a été prise à siphonner...) :
« Nos serveurs sont tous situés en Allemagne, nous sommes donc liés par le RGPD et nous nous limitons à traiter les données pour les raisons spécifiées.
(...) Notre extension a également été traitée par le personnel de vérification rigoureux de Mozilla, qui a spécifiquement approuvé toutes les communications. »

" traitée par le personnel " signifie qu'une validation "manuelle" a été effectué, le passage entre les mailles du fillet n'est donc pas dû (en tout cas principalement) à l'automatisation du process de validation, mais plutôt aux méthodes employé et aux éléments vérifiés.
Question RGPD, soit le pillage de l'intimité est permit par la RGPD, soit ce sont de fiéfés menteurs... ne connaissant pas la RGPD je ne me prononcerais pas. ^^'

De ce fait, certains utilisateurs estiment qu’ils doivent avoir plus de contrôle sur les permissions octroyées aux extensions, surtout que ces modules complémentaires ont facilement accès à des données sensibles comme les informations personnelles, les coordonnées bancaires, les mots de passe, etc.

Sur Android ils ont trouvé la parade... ils font de l'annonce sur la possibilité d'affiner les permissions grâce à une prochaine version d'Android, quand cette fonctionnalité arrive, elle est accessible à l'installation, mais à partir de la version suivante, ce paramétrage n'est accessible qu'APRES avoir installé l'appli, et les permissions de toutes les appli sont reset à chaque mise à jour de l'OS. (un doute sur le fautif >> Google, ou la surcouche Samsung ?)

D'ailleurs, quelqu'un sait pourquoi la fonctionnalité d'exporter les "réglages" de Firefox n'est pas accessible ? ...la seule solution est de copier le profil (incorporant les extension, les mot de passe, l'historique, etc.)

Avez-vous déjà utilisé des extensions concernées par cette purge ?
non, j'en utilise très peu (moins de 10), et majoritairement sous licence GPL.
...une information qui est rarement présente dans les "stores" que ce soit Goggle, Mozilla, ou les autres.