Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Mozilla va exiger que les développeurs d'extensions se servent de l'authentification à deux facteurs sur leurs comptes en 2020
Pour empêcher les attaques sur la chaîne d'approvisionnement

Le , par Stéphane le calme

4PARTAGES

16  0 
Les comptes AMO (addons.mozilla.org) sont intégrés aux comptes Firefox, qui vous permettent de gérer plusieurs services Mozilla à partir d'une seule connexion. Pour empêcher les personnes non autorisées d'accéder à votre compte, même si elles obtiennent votre mot de passe, Mozilla recommande fortement d'activer l'authentification à deux facteurs (2FA). Cette dernière apporte une couche de sécurité supplémentaire à votre compte en ajoutant une étape additionnelle au processus de connexion pour prouver que vous êtes qui vous dites être.

La validation en deux étapes ajoute plus de sécurité en rendant plus difficile la connexion à votre compte par quelqu’un d’autre, en particulier si votre mot de passe a été dérobé. Lorsque vous activez la validation en deux étapes, lors d’une tentative de connexion à votre compte avec votre mot de passe, Firefox demande également un code de vérification fourni par une application d’authentification pour avoir la preuve qu’il s’agit bien de vous.

Pour l'activer, la première étape consiste en télécharger une des applications d’authentification ci-dessous :

Ensuite, suivez ces étapes pour mettre en place la validation en deux étapes sur votre compte Firefox :
  1. Cliquez sur le bouton de menu et sélectionnez Options
  2. Dans la partie Compte Firefox, cliquez sur Gérer le compte.
  3. Développez la section Validation en deux étapes en cliquant sur le bouton Activer…
  4. Ouvrez l’application d’authentification de votre choix.
  5. Utilisez l’application pour prendre un scan du QR code ou cliquez sur Impossible de scanner le code pour afficher un code à saisir manuellement dans l’application.
  6. Saisissez le code fourni par l’application dans la section Validation en deux étapes de votre compte Firefox.
  7. Téléchargez ou imprimez les codes de récupération et conservez-les dans un endroit sûr au cas où vous perdriez l’accès à votre application d’authentification

La configuration de votre validation en deux étapes est terminée ! .


Caitlin Neiman de Mozilla a indiqué dans un billet de blog :

« À partir du début de 2020, les développeurs d'extensions devront activer 2FA sur AMO. Ceci est destiné à empêcher les acteurs malveillants de prendre le contrôle des modules complémentaires légitimes et de leurs utilisateurs. 2FA ne sera pas requis pour les soumissions qui utilisent l'API de téléchargement d'AMO.

« Avant l'entrée en vigueur de cette exigence, nous travaillerons en étroite collaboration avec l'équipe des comptes Firefox pour nous assurer que la configuration 2FA et l'expérience de connexion sur AMO sont aussi fluides que possible. Une fois cette exigence entrée en vigueur, les développeurs seront invités à activer 2FA lorsqu'ils apporteront des modifications à leurs modules complémentaires ».

Et de préciser « qu'une fois que vous avez terminé le processus de configuration, assurez-vous de télécharger ou d'imprimer vos codes de récupération et de les conserver en lieu sûr. Si jamais vous perdez l'accès à vos appareils 2FA et que vous êtes verrouillé de votre compte, vous devrez fournir l'un de vos codes de récupération pour retrouver l'accès. L'erreur de placement de ces codes peut entraîner une perte permanente d'accès à votre compte et à vos extensions sur AMO ».

Si des hackers venaient à compromettre des comptes de développeurs, ils pourraient alors envoyer des mises à jour de modules complémentaires corrompues aux utilisateurs de Firefox. Étant donné que les modules complémentaires de Firefox ont une position assez privilégiée dans le navigateur, un attaquant peut utiliser un module complémentaire compromis pour voler des mots de passe, des cookies d'authentification / session, espionner les habitudes de navigation d'un utilisateur ou rediriger les utilisateurs vers des pages de phishing ou des sites de téléchargement de logiciels malveillants.

Ces types d'incidents sont généralement appelés attaques sur la chaîne d'approvisionnement.

Lorsqu'elles se produisent, les utilisateurs finaux n'ont aucun moyen de détecter si une mise à jour complémentaire est malveillante ou non, en particulier lorsqu'une mise à jour corrompue provient de Mozilla AMO officiel - une source considérée comme sécurisée par tous les utilisateurs de Firefox.

En mai, Mozilla avait explicitement interdit les extensions incluant du code masqué. Mozilla a estimé qu'il est extrêmement important d’être aussi transparent que possible lors de la soumission d’un add-on. Les utilisateurs doivent être en mesure de discerner facilement les fonctionnalités de votre module complémentaire et de ne pas être confrontés à des expériences utilisateur inattendues après l'avoir installé.

Source : Mozilla

Et vous ?

Avez-vous déjà développé des extensions ? Pour quel navigateur ?
Que pensez-vous du processus de soumission des extensions sur ledit navigateur ?
Que pensez-vous de la décision de Mozilla de prévoir de forcer les développeurs à se servir de l'authentification à deux facteurs ?
Les autres navigateurs gagneraient-ils à s'en inspirer ? Dans quelle mesure ?

Une erreur dans cette actualité ? Signalez-le nous !