La fondation rappelle que les modules complémentaires étendent les fonctionnalités de base de Firefox, permettant aux utilisateurs de modifier et de personnaliser leur expérience Web. Un écosystème sain, fondé sur la confiance, est essentiel pour que les développeurs réussissent et que les utilisateurs se sentent en sécurité en s'appropriant Firefox. Pour ces raisons, Mozilla exige de tous les add-ons qu'ils se conforment aux règles suivantes sur les pratiques acceptables. Ces politiques ne sont pas destinées à servir d’avis juridiques, ni de liste complète de termes à inclure dans la politique de confidentialité de votre add-on.
Tous les add-ons sont soumis à ces règles, quelle que soit la manière dont ils sont distribués. Lorsqu'une extension est examinée par un humain ou évaluée d'une autre manière par Mozilla, ces règles servent de principes directeurs pour ces examens. Les modules complémentaires non conformes à ces stratégies peuvent être refusés ou désactivés par Mozilla. Par conséquent, suivez ces règles lorsque vous prenez des décisions de conception et de développement d’ajouts.
Aucune surprise
Si Mozilla reconnaît que les surprises peuvent être appropriées dans de nombreuses situations, la fondation souligne qu’elles ne sont pas les bienvenues lorsque la sécurité, la confidentialité et le contrôle des utilisateurs sont en jeu. Selon elle, il est extrêmement important d’être aussi transparent que possible lors de la soumission d’un add-on. Les utilisateurs doivent être en mesure de discerner facilement les fonctionnalités de votre module complémentaire et de ne pas être confrontés à des expériences utilisateur inattendues après l'avoir installé.
Fonctionnalités inattendues
Comme le nom le suggère, les fonctionnalités inattendues sont celles qui ne sont pas liées à la fonction principale du module complémentaire et ne sont pas susceptibles, à partir du nom ou de la description du module complémentaire, d'être attendues par un utilisateur installant ce module complémentaire.
Si une extension devait inclure une fonctionnalité inattendue relevant de l'une des catégories suivantes:
- Compromettre potentiellement la confidentialité ou la sécurité de l'utilisateur (comme l'envoi de données à des tiers)
- Modifier les paramètres par défaut tels que le nouvel onglet, la page d'accueil ou le moteur de recherche.
- Apporter des modifications inattendues au navigateur ou au contenu Web
- Inclure des fonctionnalités non liées aux fonctions principales du module complémentaire.
Alors, la ou les fonctionnalités «inattendues» doivent respecter toutes les conditions suivantes:
- La description du module complémentaire doit clairement indiquer les modifications apportées par le module complémentaire.
- Toutes les modifications doivent être « acceptées », ce qui signifie que l'utilisateur doit prendre des mesures autres que celles par défaut pour appliquer les modifications. Les modifications qui invitent les utilisateurs via le système d’autorisations ne nécessitent pas d’inscription supplémentaire.
- L'interface d'adhésion doit clairement indiquer le nom de l'add-on demandant le changement.
Contenu
Les modules complémentaires qui utilisent les marques commerciales de Mozilla doivent être conformes à la politique de Mozilla en matière de marques de commerce. Si l'add-on utilise «Firefox» dans son nom, la norme de dénomination que l'add-on devrait suivre est «<nom de l'add-on> pour Firefox».
En outre, les modules complémentaires répertoriés sur addons.mozilla.org (AMO) doivent respecter les règles suivantes:
- Tous les add-ons proposés à la liste sur AMO sont soumis aux Conditions d'utilisation de Mozilla.
- Les modules complémentaires doivent indiquer quand un paiement est requis pour activer une fonctionnalité.
- Tous les add-ons ou contenus add-on hébergés sur le (s) site (s) Mozilla doivent être conformes à la législation en vigueur aux États-Unis.
- La liste des add-on devrait avoir une description facile à lire de tout ce qu’elle fait et de toutes les informations qu’elle recueille.
- Les modules complémentaires destinés à un usage interne ou privé ne sont accessibles qu’à un groupe d’utilisateurs fermé et ne sont pas répertoriés dans AMO. Ces add-ons devraient plutôt être téléchargés pour une distribution automatique.
- Si le module complémentaire est une branche d'un autre module complémentaire, le nom doit clairement le distinguer de l'original et fournir une différence significative de fonctionnalité et/ou de code.
La sécurité prime sur le choix
Mozilla a également énoncé clairement son processus de blocage des extensions. Bien qu'il n'y ait rien d'étonnant ici, la clarification devrait signifier qu'il y a moins de causes de litiges lorsqu'une extension est bloquée.
La politique de module complémentaire mise à jour entre en vigueur le 10 juin. Les développeurs de modules complémentaires disposent d'un peu plus d'un mois pour prendre note des modifications et s'y conformer. Mozilla a déclaré que cette stratégie a été pensée pour l'aider à mieux gérer les extensions malveillantes : « Lorsque nous décidons de bloquer ou non un module complémentaire dans Firefox, nous nous demandons si le risque est tel qu'il dépasse le choix de l'utilisateur d'installer le logiciel, l'utilitaire qu'il fournit, ainsi que la liberté du développeur de distribuer et de contrôler son logiciel. Si nous nous trouvons dans une situation où nous ne pouvons pas prendre une décision claire, nous pencherons du côté de la sécurité pour protéger l'utilisateur ».
En fonction de la nature de la violation de la politique, Mozilla utilisera différents types de blocages. Avec un blocage dur, le module complémentaire est désactivé de Firefox et les utilisateurs ne peuvent pas outrepasser le blocage. Cette action est réservée aux modules complémentaires présentant les caractéristiques suivantes:
- Ils semblent violer intentionnellement la politique
- Ils contiennent des vulnérabilités de sécurité critiques
- Ils compromettent la confidentialité des utilisateurs
- Ils contournent sévèrement le consentement ou le contrôle de l'utilisateur
Un blocage mou logiciel désactivera un module complémentaire par défaut, mais permettra à l'utilisateur de le remplacer et de continuer à l'utiliser. Un tel blocage est utilisé pour les add-ons présentant les caractéristiques suivantes:
- Ils causent de graves problèmes de stabilité et de performances dans Firefox
- Ils contiennent des violations de stratégie non critiques
Les add-ons qui semblent être des clones, des répétitions ou des copies proches des add-on déjà bloqués seront également supprimés. Si un problème affecte uniquement un sous-ensemble de versions, le blocage peut être appliqué spécifiquement aux versions affectées. Les modules complémentaires contenant du code obscurci ou illisible seront également bloqués.
« Lorsque nous décidons de bloquer un module complémentaire, nous pouvons contacter le développeur si nous estimons que le problème peut être résolu. La sécurité des utilisateurs pouvant être en jeu, nous demandons aux développeurs de réagir dans les trois jours. Si aucune réponse n’est reçue dans ce délai ou si le développeur n’est pas en mesure de résoudre le problème, nous pouvons procéder au blocage.
« Plus généralement, nous ne contacterons pas les développeurs avant le blocage s'il s'avère que le module complémentaire enfreint intentionnellement nos règles ou si la violation est suffisamment grave ».
Source : Mozilla (1, 2)
Et vous ?
Que pensez-vous de cette décision de Mozilla ?
Voir aussi :
Firefox 68 Nightly et Firefox Bêta 67 débarquent avec des protections intégrées contre le fingerprinting et le cryptojacking
Pwn2Own 2019 : Tesla, Firefox, Safari, Microsoft Edge et Windows 10 ont été piratés, et les chercheurs qui ont piraté la Tesla peuvent la garder
Firefox 66 s'accompagne du blocage des vidéos en lecture automatique avec le son activé, et la prise en charge de l'API Web Authentication
Une nouvelle extension de Windows Defender Application Guard pour Chrome et Firefox ouvre des sites non approuvés dans Microsoft Edge