Le couperet est tombé il y a quelques jours. Mozilla a décidé de supprimer 23 extensions Firefox estimant qu’elles manquaient de sécurité et collectaient trop de données personnelles. Ces extensions permettaient de télécharger des vidéos en ligne ou d’évaluer la sécurité d’une page web visitée par l’utilisateur. Mais selon Jorge Villalobos, un ingénieur de Mozilla, ces extensions collectaient plus de données que nécessaire alors même qu’elles étaient envoyées de manière non chiffrée par HTTP. Enfin, ces programmes intègraient une porte dérobée « partiellement cachée » permettant l’exécution de code à distance.
Ces extensions portent des noms telles que Browser Security, Smart Tube, Dirty Little Helpers, Quick AMZ ou Web Security. Cette dernière avait même été recommandée, il n’y a pas si longtemps, dans le blog officiel de Firefox. Comme elles partagent toutes partiellement le même code , Mozilla pense qu’elles pourraient provenir « de la même personne ou du même groupe ».
La backdoor aurait été un oubli
L’une des entités s’est depuis manifestée sur le site de Mozilla, à savoir Creative Software Solutions GmbH, une société allemande. Elle revendique la paternité de 6 des 23 extensions bloquées, dont Web Security. Dans une longue réponse, elle affirme que les données collectées ne permettaient pas d’identifier les utilisateurs et ne servaient qu’à des fins de sécurité ou de statistique. Elle confirme l’absence de chiffrement des transferts de données et annonce avoir d’ores et déjà corrigé cette erreur.
Concernant la porte dérobée, l’éditeur explique qu’il s’agit là d’un regrettable oubli. « C’est une fonctionnalité que nous avons implémentée il y a longtemps, quand la file d’attente des mises à jour [des extensions] étaient tellement longue qu’il était difficile de faire des correctifs importants. Nous avons donc utilisé [ce code] pour être plus flexible au niveau des publications », explique l’éditeur qui a promis de supprimer cette fonctionnalité à l’avenir. « Nous regrettons cet incident et souhaitons avoir l’opportunité de pouvoir regagner la confiance que les utilisateurs ont placé en nous », conclut Fabian Simon, le gérant de Creative Software Solutions. Mais pour l’instant, Mozilla n’est pas revenu sur sa décision.
Source: Mozilla Bugzilla
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.
