Les plugins, ces petits logiciels qui étendent les capacités du navigateur, posent d’énormes problèmes aux éditeurs desdits navigateurs. Même quand la dernière version du plugin (parfois lié à un logiciel principal tiers) corrige tous les problèmes de sécurité connus (et souvent déjà exploités), l’éditeur du navigateur fait face au problème des plugins périmés qui laisse ses utilisateurs en danger sans qu’il puisse le contrôler. Les éditeurs de navigateurs veillent à ce que les utilisateurs exécutent bien la dernière version de leur propre produit mais ont été longtemps démunis devant des utilisateurs se servant de plugins périmés et à risque.

Comme Chrome, ils peuvent embarquer le plugin dans l’installeur qui met à jour silencieusement le navigateur. Mais cela se limite à une petite portion des plugins pouvant tourner sur la machine de l’utilisateur et cela n’est pas possible pour tous à cause des problèmes de licences logicielles. Il est difficilement envisageable, à l’heure actuelle, de se passer des plugins sans détériorer l’expérience de l’utilisateur sur le Web – Microsoft semble tenter ce pari avec Internet Explorer 10 en mode Metro seulement dans Windows 8.

De son côté, Mozilla a développé une technique de détection des versions des plugins afin de les comparer à la liste tenue à jour par la communauté. Mais cette fonction d’alerte des plugins périmés implique que l’utilisateur se rende sur une page spécialement créée à cet effet (et qu’il faut trouver dans l’interface de Firefox : un lien dans le panneau plugins de l’onglet des Modules complémentaires qui s’ouvre depuis le menu unique Firefox). Mozilla dispose également d’un mécanisme de blocage à distance des plugins à risque dans Firefox. Que ce soit le plugin non encore mis à jour mais dont une vulnérabilité est déjà exploitée ou les plugins périmés qui comportent des failles de sécurité connues, Mozilla doit évaluer les menaces et désactiver individuellement chaque plugin à distance.

Aujourd’hui, Mozilla veut aller plus loin et publie cette annonce assez laconique sur son blog des modules complémentaires :

Incitons nos utilisateurs à mettre à jour leurs plugins

Les utilisateurs de Firefox qui ont des versions périmées des plugins les plus populaires verront bientôt une notification leur demandant de les mettre à jour quand ils visitent une page Web qui les utilise. Les anciennes versions de Silverlight, Adobe Reader et Adobe Flash sur Windows sont couvertes par ceci.

Bien que vous soyez libre d’ignorer les avertissements et de continuer à utiliser vos anciens plugins, nous vous recommandons fortement de vous rendre sur notre page de vérification des plugins et de les mettre à jour dès que possible. Les anciennes versions des plugins peuvent causer des problèmes de stabilité et sont potentiellement dangereux. Les maintenir à jour vous garantira d’avoir une grande expérience de Firefox.

Déjà évoqué cet été lors d’une faille de sécurité dans Java, ce mécanisme d’alerte des utilisateurs se limite pour l’heure à Windows et ne prend pas en charge le plugin Java souvent mis en cause. À suivre…

Source

Mozilla Add-ons Blog, Prompting our users to update their plugins, 5 oct. 2012, Jorge Villalobos