Depuis Firefox 17, Mozilla bloque à distance les versions des plugins obsolètes ou dangereuses grâce à la fonction Cliquer pour activer (Click to Play) avec liste de blocage des plugins. Aujourd’hui, ce sont les versions du plugin Adobe Flash 10.2.* et inférieures qui sont indiquées par le Cliquer pour activer aux utilisateurs qui peuvent ensuite les réactiver explicitement. Michael Coates, directeur de l’assurance sécurité chez Mozilla, nous en dit plus sur les plans de Mozilla concernant la désactivation des plugins :


Donner aux utilisateurs le contrôle des plugins

Mozilla change la façon dont Firefox charge les plugins tiers tels que Flash, Java et Silverlight. Ce changement aidera à accroître les performances et la stabilité de Firefox, et procurera des avantages sécuritaires importants, tout en procurant en même temps plus de contrôle à nos utilisateurs sur leurs plugins.

Auparavant, Firefox chargeait automatiquement un plugin demandé par un site Web. Tirant parti du Cliquer pour activer (Click to Play) (NDT : traduit), Firefox ne chargera les plugins que lorsqu’un utilisateur effectuera l’action de cliquer pour activer un plugin particulier ou lorsque l’utilisateur aura préalablement configuré Cliquer pour activer pour toujours exécuter les plugins sur le site en question.

Click to Play en action

Crédit Mozilla

Plus de contrôle pour l’utilisateur

Les utilisateurs devraient avoir le choix de quel logiciel et de quels plugins s’exécutent sur leur machine. Cliquer pour activer permet aux utilisateurs de choisir s’ils souhaitent exécuter un plugin sur un site particulier. Les utilisateurs peuvent également configurer des sites pour ne jamais exécuter les plugins ou inversement pour toujours exécuter les plugins. Ce changement donne le contrôle à l’utilisateur.

Performances et stabilité accrues

Les plugins tiers mal conçus sont la première cause de plantages dans Firefox et peuvent sérieusement dégrader l’expérience de l’utilisateur sur le Web. Cela se caractérise souvent par des pauses lorsque les plugins sont chargés et déchargés, une forte utilisation de la mémoire pendant la navigation et de nombreux plantages imprévus de Firefox. En activant seulement les plugins que l’utilisateur souhaite charger, nous aidons à éliminer les pauses, les plantages et autres conséquences des plugins indésirables.

Avantages sécuritaires significatifs

L’un des vecteurs les plus courants d’exploitation à l’encontre des utilisateurs est l’exploitation de type « drive by1 » des plugins vulnérables. Dans ce type d’attaque, un utilisateur avec des plugins obsolètes ou vulnérables installés dans son navigateur peut être infecté par des logiciels malveillants (malwares) simplement en accédant à un site qui contient un kit d’exploits pour les plugins. Nous avons observé des kits d’exploits pour les plugins sur les deux types de sites Web : des malveillants et aussi au contraire des sites complètement légitimes qui ont été compromis et infectent sans s’en apercevoir les visiteurs avec des logiciels malveillants. Dans ces situations, le site Web ne dispose pas d’une utilisation légitime du plugin autre que d’exploiter le plugin vulnérable de l’utilisateur pour installer des programmes malveillants sur son ordinateur. La fonction Cliquer pour activer protège les utilisateurs dans ces scénarios puisque les plugins ne sont pas chargés automatiquement juste en visitant un site Web.

En plus des avantages sécuritaires procurés par le Cliquer pour activer, Mozilla recommande aussi vivement aux utilisateurs de garder leurs plugins à jour. Le site suivant peut être utilisé pour déterminer si les plugins sont à jour : https://www.mozilla.org/plugincheck/

Mise en œuvre de ce changement

Notre plan est d’activer Cliquer pour activer pour toutes les versions de tous les plugins sauf pour la version actuelle de Flash Player. Cliquer pour activer a déjà été activé pour de nombreux plugins qui présentent des risques importants de sécurité ou de stabilité pour nos utilisateurs. Ceci inclut les versions vulnérables et obsolètes de Silverlight, Adobe Reader et Java.

Plus précisément, les prochaines étapes sont les suivantes :
1. Cliquer pour activer les anciennes versions de Flash (versions <= 10.2.*) et ajouter lentement plus de versions récentes et dangereuses de Flash à la liste de Cliquer pour activer. Note : La version la plus récente de Flash n’aura PAS le Cliquer pour activer.

Après que nous aurons achevé les travaux finals sur l’interface utilisateur :
2. Cliquer pour activer les versions actuelles de Silverlight, Java et Acrobat Reader et toutes les versions de tous les autres plugins.

Pendant ce changement, nous surveillerons les résultats et les retours des nouveaux paramètres et de l’interface utilisateur pour nous assurer que nous fournissons une expérience de qualité et procurons les nombreux avantages de Cliquer pour activer aux utilisateurs de Firefox.


Michael Coates
Directeur de l’assurance sécurité

Le document original et cette traduction sont soumis aux conditions de la licence
Creative Commons : « Paternité – Partage des conditions initiales à l’identique 3.0 »
ou toute version postérieure.

License Creative Commons

Note du traducteur 1 : les attaques dites de « drive-by » (contournement) exploitent les failles des plugins dès que la victime visite un site Web malveillant ou compromis.

Sources et références