Mozilla a pris la décision d'interdire d'ici quelques mois dans Firefox l'installation d'extensions qui n'auront pas passé un processus de validation et reçu une signature électronique les certifiant conformes aux règles imposées aux développeurs.

Il ne sera bientôt plus possible d'installer dans Firefox des applications dont le respect des lignes de conduite, en particulier en matière de sécurité, n'a pas été vérifiée par Mozilla. La fondation a fait savoir qu'elle modifiait les règles d'installation des add-ons dans Firefox, pour exercer désormais un contrôle strict sur ce qui peut être ajouté par l'utilisateur, et ainsi indirectement sauvegarder la réputation du navigateur libre.

"Les extensions qui changent la page d'accueil et les paramètres de recherche sans le consentement de l'utilisateur sont devenues très courantes, tout comme les extensions qui injectent des publicités dans les pages Web ou même injectent des scripts malicieux sur les sites de médias sociaux", justifie Mozilla. "Les extensions qui violent (les) lignes de conduite sont distribuées presque exclusivement à l'extérieur" du site officiel de Mozilla, et "les développeurs malicieux ont trouvé des moyens de rendre leurs extensions plus difficiles à découvrir et plus difficiles à bloquer".

Mais alors que Google a été l'an dernier jusqu'à obliger les développeurs à distribuer leurs extensions via le Chrome Web Store, Mozilla va (très) légèrement moins loin dans la prise de contrôle. En pratique, les développeurs pourront toujours distribuer leurs extensions sans passer par le site officiel addons.mozilla.org s'ils souhaitent la distribuer de façon indépendante, mais ils devront tout de même passer d'abord par la plateforme pour faire signer leurs applications. Mozilla a mis au point un processus automatisé qui signera les applications conformes, ou provoquera un contrôle manuel optionnel en cas de difficulté.

Pour tester des applications en cours de développement et/ou installer des applications non signées, la seule solution pour les utilisateurs sera d'installer une version de Firefox réservée aux développeurs ou connaisseurs, c'est-à-dire une Nightly ou une Developer Edition. La version grand-public de Firefox ne proposera aucune option pour désactiver la vérification de la signature.

Dans un premier temps, en principe au deuxième trimestre à partir du futur Firefox 39, les utilisateurs recevront un message d'avertissement s'ils utilisent une extension non signée. Puis, en principe dans les trois mois suivant, Firefox sera mis à jour pour ne plus accepter leur installation.

Partager sur les réseaux sociaux

Articles liés