Aller à la recherche

Désactivation des plugins dans Firefox sauf la dernière version de Flash

Depuis Firefox 17, Mozilla bloque à distance les versions des plugins obsolètes ou dangereuses grâce à la fonction Cliquer pour activer (Click to Play) avec liste de blocage des plugins. Aujourd’hui, ce sont les versions du plugin Adobe Flash 10.2.* et inférieures qui sont indiquées par le Cliquer pour activer aux utilisateurs qui peuvent ensuite les réactiver explicitement. Michael Coates, directeur de l’assurance sécurité chez Mozilla, nous en dit plus sur les plans de Mozilla concernant la désactivation des plugins :


Donner aux utilisateurs le contrôle des plugins

Mozilla change la façon dont Firefox charge les plugins tiers tels que Flash, Java et Silverlight. Ce changement aidera à accroître les performances et la stabilité de Firefox, et procurera des avantages sécuritaires importants, tout en procurant en même temps plus de contrôle à nos utilisateurs sur leurs plugins.

Auparavant, Firefox chargeait automatiquement un plugin demandé par un site Web. Tirant parti du Cliquer pour activer (Click to Play) (NDT : traduit), Firefox ne chargera les plugins que lorsqu’un utilisateur effectuera l’action de cliquer pour activer un plugin particulier ou lorsque l’utilisateur aura préalablement configuré Cliquer pour activer pour toujours exécuter les plugins sur le site en question.

Click to Play en action

Crédit Mozilla

Plus de contrôle pour l’utilisateur

Les utilisateurs devraient avoir le choix de quel logiciel et de quels plugins s’exécutent sur leur machine. Cliquer pour activer permet aux utilisateurs de choisir s’ils souhaitent exécuter un plugin sur un site particulier. Les utilisateurs peuvent également configurer des sites pour ne jamais exécuter les plugins ou inversement pour toujours exécuter les plugins. Ce changement donne le contrôle à l’utilisateur.

Performances et stabilité accrues

Les plugins tiers mal conçus sont la première cause de plantages dans Firefox et peuvent sérieusement dégrader l’expérience de l’utilisateur sur le Web. Cela se caractérise souvent par des pauses lorsque les plugins sont chargés et déchargés, une forte utilisation de la mémoire pendant la navigation et de nombreux plantages imprévus de Firefox. En activant seulement les plugins que l’utilisateur souhaite charger, nous aidons à éliminer les pauses, les plantages et autres conséquences des plugins indésirables.

Avantages sécuritaires significatifs

L’un des vecteurs les plus courants d’exploitation à l’encontre des utilisateurs est l’exploitation de type « drive by1 » des plugins vulnérables. Dans ce type d’attaque, un utilisateur avec des plugins obsolètes ou vulnérables installés dans son navigateur peut être infecté par des logiciels malveillants (malwares) simplement en accédant à un site qui contient un kit d’exploits pour les plugins. Nous avons observé des kits d’exploits pour les plugins sur les deux types de sites Web : des malveillants et aussi au contraire des sites complètement légitimes qui ont été compromis et infectent sans s’en apercevoir les visiteurs avec des logiciels malveillants. Dans ces situations, le site Web ne dispose pas d’une utilisation légitime du plugin autre que d’exploiter le plugin vulnérable de l’utilisateur pour installer des programmes malveillants sur son ordinateur. La fonction Cliquer pour activer protège les utilisateurs dans ces scénarios puisque les plugins ne sont pas chargés automatiquement juste en visitant un site Web.

En plus des avantages sécuritaires procurés par le Cliquer pour activer, Mozilla recommande aussi vivement aux utilisateurs de garder leurs plugins à jour. Le site suivant peut être utilisé pour déterminer si les plugins sont à jour : https://www.mozilla.org/plugincheck/

Mise en œuvre de ce changement

Notre plan est d’activer Cliquer pour activer pour toutes les versions de tous les plugins sauf pour la version actuelle de Flash Player. Cliquer pour activer a déjà été activé pour de nombreux plugins qui présentent des risques importants de sécurité ou de stabilité pour nos utilisateurs. Ceci inclut les versions vulnérables et obsolètes de Silverlight, Adobe Reader et Java.

Plus précisément, les prochaines étapes sont les suivantes :
1. Cliquer pour activer les anciennes versions de Flash (versions <= 10.2.*) et ajouter lentement plus de versions récentes et dangereuses de Flash à la liste de Cliquer pour activer. Note : La version la plus récente de Flash n’aura PAS le Cliquer pour activer.

Après que nous aurons achevé les travaux finals sur l’interface utilisateur :
2. Cliquer pour activer les versions actuelles de Silverlight, Java et Acrobat Reader et toutes les versions de tous les autres plugins.

Pendant ce changement, nous surveillerons les résultats et les retours des nouveaux paramètres et de l’interface utilisateur pour nous assurer que nous fournissons une expérience de qualité et procurons les nombreux avantages de Cliquer pour activer aux utilisateurs de Firefox.


Michael Coates
Directeur de l’assurance sécurité

Le document original et cette traduction sont soumis aux conditions de la licence
Creative Commons : « Paternité – Partage des conditions initiales à l’identique 3.0 »
ou toute version postérieure.

License Creative Commons

Note du traducteur 1 : les attaques dites de « drive-by » (contournement) exploitent les failles des plugins dès que la victime visite un site Web malveillant ou compromis.

Sources et références

Commentaires

1. Le vendredi 1 février 2013, 17:49 par Janus24

Je ne comprends pas trop cette décision, pourquoi ne pas avoir décidé de désactivé tous les plugins sauf s’ils sont à la dernière version, pourquoi faire une exception pour flash.

2. Le mercredi 6 février 2013, 18:02 par Hervé

C’est bien mais je pense que la majorité des utilisateurs s’en fout (pour parler franchement). Les autres avaient déjà installé l’extension FlashBlock ou QuickJava ou autre… Alors pourquoi Mozilla met-il des ressources sur ce type de développement, plutôt que de promouvoir ces extensions ? Les extensions, c’est un peu la recette du succès de Firefox, après tout…

3. Le vendredi 8 février 2013, 06:38 par Charles

Étrange franchement, pour une fois je ne comprends pas cette décision !

4. Le dimanche 10 février 2013, 15:25 par Mozinet

@Hervé : L’intégration dans le processus de développement de Firefox d’une fonctionnalité proposée jusque là par une extension est justement une reconnaissance du travail de son auteur.

5. Le jeudi 14 février 2013, 16:37 par angel06

bonjour à tous
quand j’ouvre la page”vérification des plugins”il est écrit ” plugins potentiellement dangereux et obsolètes”.comme il est recommandé je clique alors sur MISE A JOUR DANS LE CARRE JAUNE MAIS RIEN NE SE PASSE.pourquoi???
faute de trouver la solution j’ai desactivé ces 2 plugins par le menu outils mais est-ce suffisant pour ne pas courir de risques?
plugins concernés:Realnetwork chronobackground

                        :realplayer htlm 5 videoshim

merci de bien vouloir m’aider à régler ce problème

6. Le vendredi 15 février 2013, 15:46 par Mozinet

@angel06 : Je te conseille de poser ta question sur les excellents forums d’entraide francophones de Geckozone.

7. Le vendredi 1 mars 2013, 15:46 par Marc34F

Depuis la dernière mise à jour de Firefox je ne peux plus changer le bandeau, ce qui n’est pas très ennuyeux mais Yahoomail notifier 1.0.2 ne contrôle plus le courrier arrivé sur ma boite, ce qui est beaucoup plus ennuyeux.

Si quelqu’un d’autre à ce problème et une solution à proposer, elle sera la bienvenue.

Merci

8. Le vendredi 1 mars 2013, 16:14 par Mozinet

@Marc34F : Tu devrais poser tes questions très précisément (notamment expliquer ce que tu entends par « changer le bandeau ») sur les forums d’entraide communautaire francophones de Geckozone. Tu pourras sans doute avoir des avis sur ton problème avec Yahoo! Mail Notifier en particulier.

9. Le dimanche 10 mars 2013, 16:43 par eoole

bjr fo arreter les maj c un cirque mis fire19 sur jeu face boock et video marche plus mais a jour flash 11 6 et reader x 10 14(car le dit plugins obsolete ) flash ce remet en vert mais reader que dale et rien ne marche toujours autrement dit soit fire19 soit adobe et une merde

Ajouter un commentaire

Les commentaires peuvent être formatés en utilisant une syntaxe wiki simplifiée.

La discussion continue ailleurs

URL de rétrolien : http://blogzinet.free.fr/blog/index.php?trackback/567

Fil des commentaires de ce billet

Page top