Firefox 115 peut désactiver à distance n'importe quelle extension sur n'importe quel site Web,

Une initiative controversée qui suscite la colère de certains développeurs d'extensions

La fonctionnalité "Quarantined Domains" (domaines en quarantaine) introduite par Mozilla dans Firefox 115 continue de faire des vagues sur la toile et suscite diverses inquiétudes. Cette fonctionnalité est censée empêcher certaines extensions de fonctionner sur certains sites Web pour "diverses raisons", y compris des préoccupations de sécurité, mais beaucoup ont du mal à comprendre ce qui justifie cette fonctionnalité et la considèrent comme "dangereuse". En outre, le terme "diverses raisons" est flou et très peu informatif, ce qui, selon les critiques, est contraire à la politique de Mozilla consistant à promouvoir un Internet libre et ouvert. Jusque-là, Mozilla n'a pas réagi.

"Quarantined Domains" empêche certains modules complémentaires de s'exécuter sur certains sites Web. Lorsque cela arrive, l'utilisateur de Firefox reçoit le message : « certaines extensions ne sont pas autorisées ». Les prochaines versions de Firefox incluront des options supplémentaires pour gérer ces limites pour chaque module complémentaire particulier. Mais la fonctionnalité fait l'objet de controverses depuis l'annonce de Firefox 115. L'équipe de Firefox dit avoir conçu cette fonctionnalité dans le but d'améliorer la sécurité et garantir que seules des extensions sélectionnées, et surveillées par Mozilla, peuvent fonctionner sur certains sites Web.

« À partir de la version 115 de Firefox, nous avons introduit une nouvelle fonctionnalité en arrière-plan pour n’autoriser que certaines extensions surveillées par Mozilla à fonctionner sur des sites Web spécifiques pour diverses raisons, notamment des préoccupations de sécurité », explique Mozilla sur une page d’aide. Cela suggère que Mozilla peut désactiver à distance n'importe quelle extension sur n'importe quel site Web. Cependant, l'explication de Mozilla, en particulier le terme "diverses raisons", reste totalement incomprise par une grande partie de la communauté. Ces utilisateurs demandent une définition plus large des raisons justifiant la fonctionnalité.


« Pour diverses raisons. C'est assez peu informatif et mystérieux. Je suis tout à fait favorable à ce que les utilisateurs puissent contrôler les extensions et choisir celles qui peuvent s'exécuter sur un site Web donné. Safari dispose déjà de cette fonctionnalité sur macOS et iOS. Mon inquiétude ne porte pas sur le contrôle de l'utilisateur - qui n'existe même pas dans Firefox 115, comme je le montrerai plus loin - mais plutôt sur le contrôle à distance que Mozilla s'est maintenant donné », a écrit Jeff Johnson, un ingénieur logiciel. Mozilla a livré Firefox 115 avec une liste des domaines vide et donne la possibilité à l'utilisateur lui-même de définir les domaines concernés.

Cela dit, un rapport Bugzilla mentionne ceci : « nous devons avoir la possibilité de définir la liste des domaines en quarantaine à distance. La préférence doit être une chaîne au même format que extensions.webextensions.restrictedDomains. La préférence sera extensions.webextensions.quarantinedDomains, et elle aura une valeur par défaut définie dans un correctif pour le bogue 1745823 (pour inclure quelques sous-domaines réels, mais "tests" de badssl.com). Classé comme confidentiel pour l'instant, jusqu'à ce que nous livrions le module d'extension du système ». Là encore, la confidentialité évoquée par Mozilla inquiète certains utilisateurs de Firefox.

« On peut se demander pourquoi un projet open source exige la confidentialité à ce sujet. Incidemment, ni Safari, ni Chrome, ni aucun autre navigateur à ma connaissance, ne disposent d'un tel bouton d'arrêt à distance spécifique à un domaine pour les extensions, on peut donc se demander pourquoi il était nécessaire dans Firefox. Je pense que Mozilla avait déjà la capacité de désactiver à distance une extension individuelle, s'il s'avérait qu'il s'agissait d'un logiciel malveillant. Après tout, chaque extension Firefox doit être téléchargée vers Mozilla pour être analysée et signée par un code cryptographique avant de pouvoir être installée dans Firefox », note Johnson.


« Compte tenu de cette capacité préexistante, on ne voit pas pourquoi il devrait y avoir une liste de domaines où toutes les extensions, à l'exception de quelques heureux élus, sont désactivées, indépendamment du fait que les extensions désactivées aient montré des signes d'inconduite », a-t-il déclaré. L'ingénieur a réalisé une expérience en ajoutant le domaine "www.youtube.com" à la liste des domaines en quarantaine pour montrer comment la fonctionnalité se comporte en pratique. Après avoir relancé Firefox, l'avertissement s'est affiché dans la...