Désactivation des plugins dans Firefox sauf la dernière version de Flash
Depuis Firefox 17, Mozilla bloque à distance les versions des plugins obsolètes ou dangereuses grâce à la fonction Cliquer pour activer (Click to Play) avec liste de blocage des plugins. Aujourd’hui, ce sont les versions du plugin Adobe Flash 10.2.* et inférieures qui sont indiquées par le Cliquer pour activer aux utilisateurs qui peuvent ensuite les réactiver explicitement. Michael Coates, directeur de l’assurance sécurité chez Mozilla, nous en dit plus sur les plans de Mozilla concernant la désactivation des plugins :
Donner aux utilisateurs le contrôle des plugins
Mozilla change la façon dont Firefox charge les plugins tiers tels que Flash, Java et Silverlight. Ce changement aidera à accroître les performances et la stabilité de Firefox, et procurera des avantages sécuritaires importants, tout en procurant en même temps plus de contrôle à nos utilisateurs sur leurs plugins.
Auparavant, Firefox chargeait automatiquement un plugin demandé par un site Web. Tirant parti du Cliquer pour activer (Click to Play) (NDT : traduit), Firefox ne chargera les plugins que lorsqu’un utilisateur effectuera l’action de cliquer pour activer un plugin particulier ou lorsque l’utilisateur aura préalablement configuré Cliquer pour activer pour toujours exécuter les plugins sur le site en question.
Plus de contrôle pour l’utilisateur
Les utilisateurs devraient avoir le choix de quel logiciel et de quels plugins s’exécutent sur leur machine. Cliquer pour activer permet aux utilisateurs de choisir s’ils souhaitent exécuter un plugin sur un site particulier. Les utilisateurs peuvent également configurer des sites pour ne jamais exécuter les plugins ou inversement pour toujours exécuter les plugins. Ce changement donne le contrôle à l’utilisateur.
Performances et stabilité accrues
Les plugins tiers mal conçus sont la première cause de plantages dans Firefox et peuvent sérieusement dégrader l’expérience de l’utilisateur sur le Web. Cela se caractérise souvent par des pauses lorsque les plugins sont chargés et déchargés, une forte utilisation de la mémoire pendant la navigation et de nombreux plantages imprévus de Firefox. En activant seulement les plugins que l’utilisateur souhaite charger, nous aidons à éliminer les pauses, les plantages et autres conséquences des plugins indésirables.
Avantages sécuritaires significatifs
L’un des vecteurs les plus courants d’exploitation à l’encontre des utilisateurs est l’exploitation de type « drive by1 » des plugins vulnérables. Dans ce type d’attaque, un utilisateur avec des plugins obsolètes ou vulnérables installés dans son navigateur peut être infecté par des logiciels malveillants (malwares) simplement en accédant à un site qui contient un kit d’exploits pour les plugins. Nous avons observé des kits d’exploits pour les plugins sur les deux types de sites Web : des malveillants et aussi au contraire des sites complètement légitimes qui ont été compromis et infectent sans s’en apercevoir les visiteurs avec des logiciels malveillants. Dans ces situations, le site Web ne dispose pas d’une utilisation légitime du plugin autre que d’exploiter le plugin vulnérable de l’utilisateur pour installer des programmes malveillants sur son ordinateur. La fonction Cliquer pour activer protège les utilisateurs dans ces scénarios puisque les plugins ne sont pas chargés automatiquement juste en visitant un site Web.
En plus des avantages sécuritaires procurés par le Cliquer pour activer, Mozilla recommande aussi vivement aux utilisateurs de garder leurs plugins à jour. Le site suivant peut être utilisé pour déterminer si les plugins sont à jour : https://www.mozilla.org/plugincheck/
Mise en œuvre de ce changement
Notre plan est d’activer Cliquer pour activer pour toutes les versions de tous les plugins sauf pour la version actuelle de Flash Player. Cliquer pour activer a déjà été activé pour de nombreux plugins qui présentent des risques importants de sécurité ou de stabilité pour nos utilisateurs. Ceci inclut les versions vulnérables et obsolètes de Silverlight, Adobe Reader et Java.
Plus précisément, les prochaines étapes sont les suivantes :
1. Cliquer pour activer les anciennes versions de Flash (versions <= 10.2.*) et ajouter lentement plus de versions récentes et dangereuses de Flash à la liste de Cliquer pour activer. Note : La version la plus récente de Flash n’aura PAS le Cliquer pour activer.
Après que nous aurons achevé les travaux finals sur l’interface utilisateur :
2. Cliquer pour activer les versions actuelles de Silverlight, Java et Acrobat Reader et toutes les versions de tous les autres plugins.
Pendant ce changement, nous surveillerons les résultats et les retours des nouveaux paramètres et de l’interface utilisateur pour nous assurer que nous fournissons une expérience de qualité et procurons les nombreux avantages de Cliquer pour activer aux utilisateurs de Firefox.
Michael Coates
Directeur de l’assurance sécurité
Le document original et cette traduction sont soumis aux conditions de la licence
Creative Commons : « Paternité – Partage des conditions initiales à l’identique 3.0 »
ou toute version postérieure.
Note du traducteur 1 : les attaques dites de « drive-by » (contournement) exploitent les failles des plugins dès que la victime visite un site Web malveillant ou compromis.
Sources et références
- Mozilla Security Blog :
- Putting Users in Control of Plugins, 29 janv. 2013, Michael Coates
- Click-to-Play Plugins, Blocklist-Style, 11 oct. 2012, David Keeler
- Mozilla Add-ons Blog, Adobe Flash 10.2.* and lower are now Click-to-Play, 29 janv. 2013, Jorge Villalobos
- Assistance de Firefox : Pourquoi dois-je cliquer pour activer les plugins ?
Commentaires
Je ne comprends pas trop cette décision, pourquoi ne pas avoir décidé de désactivé tous les plugins sauf s’ils sont à la dernière version, pourquoi faire une exception pour flash.
C’est bien mais je pense que la majorité des utilisateurs s’en fout (pour parler franchement). Les autres avaient déjà installé l’extension FlashBlock ou QuickJava ou autre… Alors pourquoi Mozilla met-il des ressources sur ce type de développement, plutôt que de promouvoir ces extensions ? Les extensions, c’est un peu la recette du succès de Firefox, après tout…
Étrange franchement, pour une fois je ne comprends pas cette décision !
@Hervé : L’intégration dans le processus de développement de Firefox d’une fonctionnalité proposée jusque là par une extension est justement une reconnaissance du travail de son auteur.
bonjour à tous
quand j’ouvre la page”vérification des plugins”il est écrit ” plugins potentiellement dangereux et obsolètes”.comme il est recommandé je clique alors sur MISE A JOUR DANS LE CARRE JAUNE MAIS RIEN NE SE PASSE.pourquoi???
faute de trouver la solution j’ai desactivé ces 2 plugins par le menu outils mais est-ce suffisant pour ne pas courir de risques?
plugins concernés:Realnetwork chronobackground
merci de bien vouloir m’aider à régler ce problème
@angel06 : Je te conseille de poser ta question sur les excellents forums d’entraide francophones de Geckozone.
Depuis la dernière mise à jour de Firefox je ne peux plus changer le bandeau, ce qui n’est pas très ennuyeux mais Yahoomail notifier 1.0.2 ne contrôle plus le courrier arrivé sur ma boite, ce qui est beaucoup plus ennuyeux.
Si quelqu’un d’autre à ce problème et une solution à proposer, elle sera la bienvenue.
Merci
@Marc34F : Tu devrais poser tes questions très précisément (notamment expliquer ce que tu entends par « changer le bandeau ») sur les forums d’entraide communautaire francophones de Geckozone. Tu pourras sans doute avoir des avis sur ton problème avec Yahoo! Mail Notifier en particulier.
bjr fo arreter les maj c un cirque mis fire19 sur jeu face boock et video marche plus mais a jour flash 11 6 et reader x 10 14(car le dit plugins obsolete ) flash ce remet en vert mais reader que dale et rien ne marche toujours autrement dit soit fire19 soit adobe et une merde