Ce week-end la Fondation Mozilla a dû bloquer puis débloquer
un plug-in de Microsoft pour Firefox, en raison d'une faille de
sécurité. Cet épisode repose le problème de la sécurité des extensions
qui viennent se greffer aux navigateurs.
Il y a un
mois, Microsoft se plaignait de l'arrivée du plug-in Chrome Frame pour Internet
Explorer estimant que ce type d'initiative était dangereuse en matière de
sécurité.
Aujourd'hui, l'éditeur de Redmond est dans le rôle de l'accusé. En
effet, la Fondation Mozilla a ce week-end bloqué, puis débloqué l'add-on
Windows Presentation Foundation, qui vient se greffer sur Firefox. Dans un
bulletin de sécurité, Microsoft expliquait que ce plug-in souffrait d'une
faille de sécurité et qu'il fallait impérativement mettre à jour Internet
Explorer pour combler cette brèche.
Mozilla a d'abord bloqué le plug-in, puis comme Microsoft a
prouvé sa bonne foi en publiant des
méthodes pour corriger le fichier en question, ou carrément en conseillant de le désactiver, la
Fondation l'a ôté de la liste des extensions bloquées.
Un plug-in installé à l'insu de l'utilisateur
Cette affaire soulève néanmoins deux problèmes importants.
D'abord, il met en lumière le fait que Microsoft a installé, à l'insu de l'utilisateur
et de l'éditeur de Firefox,
un plug-in. En l'occurrence, Windows Presentation Foundation s'installe
dans Firefox après la mise à jour du composant .Net Fremework. Ensuite,
il confirme que n'importe quel
logiciel aussi sécurisé soit-il peut devenir une passoire par l'ajout
d'une simple extension.
Cette année, des failles de sécurité dans QuickTime (Apple) ou dans Flash ou
Reader (Adobe) avaient mis à mal la sécurité de la plupart des
navigateurs. Au passage, on se souvient que les différents
protagonistes (Apple, Microsoft, Adobe...)
se renvoyaient la balle alors même que c'est l'internaute qui subit les
dommages de ces problèmes de sécurité. (Eureka Presse)
Source ZDNet