Google veut sécuriser les plug-ins de Chrome. À cette fin, l'entreprise américaine annonce des changements auxquels les développeurs vont devoir se plier. Les modules ne suivant pas le calendrier fixé par Google seront progressivement mis de côté.

Tout comme Firefox, Google Chrome peut recevoir des extensions qui permettent d'enrichir l'expérience de l'usager lorsqu'il navigue sur la toile. Ces modules complémentaires ont des missions très diverses : ils peuvent agréger de l'information, divertir l'internaute, améliorer la confidentialité du surf ou développer les atouts d'une fonctionnalité intégrée au navigateur web.

Ces greffons s'avèrent indispensables pour de nombreux utilisateurs. Hélas, ils sont aussi utilisés comme porte d'entrée par des personnes mal intentionnées pour causer du tort. Ainsi, des extensions n'ayant pas été correctement programmées ou ne bénéficiant plus d'une maintenance sérieuse portent en leur sein des vulnérabilités qui peuvent être exploitées pour nuire à autrui.

Afin de résoudre ce souci, Google va passer un coup de balai dans les plug-ins de Chrome. L'entreprise américaine annonce qu'elle compte abandonner complétement l'interface de programmation NPAPI (Netscape Plugin API). Selon le calendrier prévisionnel de la firme de Mountain View, cette évolution se produira à la fin 2014. D'ici là, plusieurs étapes seront franchies pour opérer une transition en douceur.

"À partir de janvier prochain, Chrome bloquera par défaut les plug-ins NPAPI sur le canal des mises à jour pour le grand public Afin d'éviter toute perturbation pour les utilisateurs, nous allons placer en liste blanche les plug-ins NPAPI les plus populaires qui ne sont pas déjà bloqués pour des raisons de sécurité", écrit la société. Six modules sont concernés

  •     Silverlight (lancé par 15 % des usagers Chrome le mois dernier)
  •     Unity (9,1 %)
  •     Google Earth (9,1 %)
  •     Java (8,9 %) => déjà bloqué pour des raisons de sécurité
  •     Google Talk (8,7 %)
  •     Facebook Video (6 %)

Comme il est possible de le constater, seules les applications ayant été utilisées par au moins 5 % de la totalité des internautes sous Chrome le mois dernier ont le droit d'être inscrites en liste blanche. Les autres seront bloquées et il faudra que les développeurs les mettent à jour afin qu'elles fonctionnent avec l'interface de programmation PPAPI (Pepper Plugin API).

Depuis lundi, le Chrome Web Store n'accepte plus les extensions basées sur l'API NPAPI. Les développeurs ont jusqu'au mois de mai 2014 pour procéder aux mises à jour nécessaires. À partir de septembre, les applications encore en API NPAPI seront retirées de la plateforme de téléchargement. Et Google rappelle que d'autres, comme Firefox, s'inscrivent dans une démarche similaire.

"Aujourd'hui, les navigateurs sont plus rapides, plus sûrs et plus efficaces que leurs ancêtres. En parallèle, l'architecture NPAPI des années 90 est devenue la cause principale des blocages, des incidents de sécurité et d'une complexification du code", écrit Google. "Nous estimons que le web est prêt à cette transition", d'autant que NPAPI n'est pas supporté par les appareils portables.


Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !