La fondation Mozilla compte se montrer plus ferme à l'égard des plugins, en généralisant leur blocage par défaut. Seule la dernière version de Flash sera épargnée, dans la mesure où ce greffon demeure essentiel pour profiter de nombreux contenus. Les usagers devront alors activer eux-mêmes les plugins lorsque ces derniers seront nécessaires.

C'est un changement substantiel dans la manière d'appréhender la sécurité des internautes. Dans les prochaines versions de Firefox, les plugins seront bloqués par défaut pour limiter les risques de crash et renforcer la protection du navigateur. Ce sera à l'utilisateur de les activer pour en bénéficier. Seule la version la plus à jour de Flash sera épargnée par cette mesure.

Les plugins permettent d'enrichir l'expérience délivrée par un navigateur web. Grâce à eux, il est possible de regarder une vidéo, jouer à un jeu en ligne ou lancer une animation. Ces logiciels ne sont pas développés par la fondation, mais par d'autres entreprises. Par exemple, le plugin QuickTime a été conçu par Apple, Silverlight par Microsoft et Flash par Adobe.

Ces plugins constituent toutefois un risque pour la sécurité. D'une part, ils ne se mettent pas à jour automatiquement. En conséquence, des vulnérabilités peuvent demeurer même si un correctif est disponible. Ce sont ces failles qui sont ensuite exploitées par des personnes mal intentionnées, car elles savent que ces petits logiciels – vu leur importance – sont installés chez de nombreux usagers.

D'autre part, les plugins augmentent les risques d'instabilité du navigateur web. Chaque internaute ou presque peut certainement témoigner du crash de son navigateur à cause d'un module complémentaire récalcitrant. C'est alors une source d'agacement, car non seulement la session de navigation est parfois perdue, mais en plus c'est une perte de temps très désagréable.

La fondation Mozilla s'intéresse depuis un petit moment à ce sujet. Plusieurs moyens d'action sont à sa disposition : elle peut alerter les internautes lorsqu'elle détecte un plugin obsolète, en les incitant à le mettre à jour. En cas de risque critique, elle peut le désactiver d'autorité en attendant l'arrivée d'un patch. Elle peut en outre demander la validation préalable de l'usager avant de l'exécuter.

C'est par ce biais que la fondation veut agir aujourd'hui. La validation préalable, baptisée Click to Play, a été introduite avec Firefox 17. Il s'agit d'un dispositif qui bloque par défaut l'exécution des plugins. Pour lever cette sécurité et profiter d'un contenu nécessitant un greffon particulier, l'usager doit alors confirmer son intention d'activer le module complémentaire. Le logiciel s'exécutera alors.

Dans un billet de blog, la fondation Mozilla explique son intention de généraliser le Click to Play à tous les plugins existants. Java, Silverlight, Quicktime, Adobe Reader… chacun devra être préalablement validé par l'usager avant de s'exécuter. Seule exception à la règle : Flash, dont le rôle reste indispensable. Le logiciel est en effet exploité massivement par les sites de diffusion de vidéos par exemple.

Ces changements seront évidemment modifiables à la discrétion de l'usager. Il lui suffira de se rendre dans les réglages du navigateur et indiquer si un plugin doit toujours s'exécuter sur tel ou tel site web.


Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !