Ce week-end la Fondation Mozilla a dû bloquer puis débloquer un plug-in de Microsoft pour Firefox, en raison d'une faille de sécurité. Cet épisode repose le problème de la sécurité des extensions qui viennent se greffer aux navigateurs.

Il y a un mois, Microsoft se plaignait de l'arrivée du plug-in Chrome Frame pour Internet Explorer estimant que ce type d'initiative était dangereuse en matière de sécurité.

Aujourd'hui, l'éditeur de Redmond est dans le rôle de l'accusé. En effet, la Fondation Mozilla a ce week-end bloqué, puis débloqué l'add-on Windows Presentation Foundation, qui vient se greffer sur Firefox. Dans un bulletin de sécurité, Microsoft expliquait que ce plug-in souffrait d'une faille de sécurité et qu'il fallait impérativement mettre à jour Internet Explorer pour combler cette brèche.

Mozilla a d'abord bloqué le plug-in, puis comme Microsoft a prouvé sa bonne foi en publiant des méthodes pour corriger le fichier en question, ou carrément en conseillant de le désactiver, la Fondation l'a ôté de la liste des extensions bloquées.

Un plug-in installé à l'insu de l'utilisateur

Cette affaire soulève néanmoins deux problèmes importants. D'abord, il met en lumière le fait que Microsoft a installé, à l'insu de l'utilisateur et de l'éditeur de Firefox, un plug-in. En l'occurrence, Windows Presentation Foundation s'installe dans Firefox après la mise à jour du composant .Net Fremework. Ensuite, il confirme que n'importe quel logiciel aussi sécurisé soit-il peut devenir une passoire par l'ajout d'une simple extension.

Cette année, des failles de sécurité dans QuickTime (Apple) ou dans Flash ou Reader (Adobe) avaient mis à mal la sécurité de la plupart des navigateurs. Au passage, on se souvient que les différents protagonistes (Apple, Microsoft, Adobe...) se renvoyaient la balle alors même que c'est l'internaute qui subit les dommages de ces problèmes de sécurité. (Eureka Presse)

Source ZDNet