Firefox : Mozilla souhaite signer les extensions pour plus de sécurité

Sur le marché des navigateurs, Firefox s'est d'emblée distingué en permettant aux internautes d'y greffer des extensions afin de multiplier ses fonctionnalités. La fondation explique vouloir sécuriser davantage ces dernières via des signatures électroniques.

Logo Firefox 2013
Si certaines extensions de Firefox s'avèrent pratiques au quotidien, d'autres en revanche ne sont pas les bienvenues. « Les extensions qui modifient la page d'accueil ou les paramètres de recherche sans le consentement de l'utilisateur sont devenues très communes, comme celles qui injectent de la publicité au sein des pages Web ou des scripts malveillants sur les sites de médias sociaux ».

Pour remédier à ce problème, Mozilla avait publié une charte pour les développeurs. Si la plateforme officielle de téléchargement est relativement sécurisée, les add-ons malveillants sont toujours disponibles en dehors, et les développeurs rendent leur blocage de plus en plus difficile. Mozilla indique ne pas vouloir suivre la politique de Google et forcer les internautes à télécharger les extensions uniquement depuis addons.mozilla.org. La fondation a décidé de mettre en place un système de signatures électroniques.

Les extensions soumises sur le répertoire de Mozilla (AMO) seront passées au crible et une fois approuvées, elles recevront une signature automatiquement. Les add-ons qui ne sont pas hébergés sur AMO devront eux-aussi y être soumis, et le même procédé de vérification sera mis en place. L'éditeur devra donc y créer un compte comme s'il souhaitait y lister son projet. Ce dernier sera simplement privé.

AMO dispose de processus automatisé pour la vérification des soumissions. En cas de rejet, l'éditeur pourra demander à ce que Mozilla vérifie manuellement l'extension. Par la suite, Mozilla mettra en place un mécanisme pour vérifier les extensions destinées à un usage intranet.

Firefox Add-Ons
Firefox Add-Ons
Firefox Add-Ons


Mozilla procédera à une période de transition de 12 semaines (équivalent à la publication de deux versions de Firefox) durant laquelle les extensions non signées retourneront un avertissement au travers du navigateur. « Après la période de transition, il ne sera plus possible d'installer une extension non signée dans les versions stables et bêta de Firefox. », explique Jorge Villalobos, responsable de l'équipe Mozilla Add-Ons. Et d'ajouter : « il n'y aura pas de préférence ou de ligne de commande pour désactiver ceci ».

Les thèmes ou les dictionnaires ne seront pas affectés, et dans un premier temps, le processus ne sera pas étendu à Thunderbird ou SeaMonkey. Les développeurs retrouveront davantage d'informations sur cette page pour connaître la marche à suivre.
Modifié le 13/02/2015 à 11h37
Commentaires