Assiste.com - Sécurité informatique - Vie privée sur le Web - Neutralité d'Internet

cr  05.03.2005      r+  22.10.2024      r-  22.10.2024      Pierre Pinard.         (Alertes et avis de sécurité au jour le jour)

Attention ! Ce service n'existe plus.

Au 1er janvier 2017, disparition totale et définitive des plug-ins, de la notion même de plug-in et des mécanismes NPAPI et PPAPI d'accueil des plug-ins dans tous les navigateurs Web, remplacés par HTML5, JavaScript et des services Web en ligne.

La raison en est simple : l'usage de plug-ins a été massivement exploité par les cybercriminels.

Bienvenue sur le Web
Ce monde trompeur et menteur

Les cybercriminels offraient gratuitement des bidules pompeusement appelés plug-ins, peu utiles, voire totalement inutiles, en convainquant les internautes qu'il s'agissait de quelque chose de génial qui allait changer leur vie et leur expérience du Web.

En réalité, la très grande majorité de ces dizaines de milliers de bidules inutiles servaient à implémenter du code malveillant : des virus. Un petit nombre de plug-ins étaient parfaitement sains et réellement utiles.

Les éditeurs de navigateurs Web ont mis le holà à la technologie même d'accueil des plug-ins.


Ce qu'était l'outil d'accueil des plug-ins :

Un outil, universel, avait été développé par la Fondation Mozilla (l'auteur du meilleur et plus rapide navigateur qui soit : Firefox). Il détecte la version actuelle de tous les « plug-ins » installés dans votre appareil et affiche un tableau clair et concis indiquant quelle est la version actuellement installée de chaque « plug-in » et quelle devrait être la version installée si votre « plug-in » n'est pas à jour.

Si une mise à jour d'un « plug-in » est disponible, un simple clic sur un bouton lance le téléchargement et l'installation de sa dernière version (la version la plus à jour).

Il est vivement recommandé d'appliquer toutes les mises à jour sinon vous risquez des problèmes d'instabilité et d'insécurité. Si certaines mises à jour concernent de simples fonctionnalités du « plug-in » ou le remplacement d'une version obsolète, certaines autres concernent la stabilité du « plug-ins » et la correction de failles de sécurité qu'il est indispensable, obligatoire, d'installer, sans aucun délai.

Cliquez, une ou deux fois par jour, sur le bouton suivant pour exécuter l'application de la Fondation Mozilla et vérifier l'état de vos plug-ins :

Pourquoi cet outil est-il universel (tous les navigateurs) ?

C'est la mutualisation des technologies.

Les « plug-ins » (ne pas confondre Plug-ins et Extensions) sont des applications (du code exécutable) que l'on peut connecter (emboîter) dans une autre application pour lui apporter la possibilité d'utiliser une technologie additionnelle ou une fonction additionnelle. L'application hôte et le plug-in doivent disposer d'un mécanisme de reconnaissance mutuelle (en ce qui concerne les applications de type navigateurs Web il y a 2 mécanismes normalisés, NPAPI et PPAPI, auxquels on peut ajouter l'exotisme habituel de Microsoft et son navigateur Web Internet Explorer qui utilise la technologie scélérate ActiveX). Ainsi :

  • Le plug-in Flash ajoute aux navigateurs Web (simultanément à tous les navigateurs Web installés), la technologie Flash

  • Le plug-in Codec vidéo OpenH264 ajoute aux navigateurs Web (simultanément à tous les navigateurs Web installés), la technologie de décompression H.264 pour ouvrir des vidéos encodées dans ce format

  • Le plug-in Adobe Acrobat ajoute aux navigateurs Web (simultanément à tous les navigateurs Web installés), la technologie de lecture et d'annotation des documents « Portable Document Format » (PDF)

  • Etc.

Les plug-ins concernant les technologies standards (comme Flash ou Adobe Acrobat, etc.) sont mutualisés entre tous les navigateurs Web installés (vous pouvez parfaitement avoir une machine dans laquelle sont installés, simultanément, Firefox, Internet Explorer, Opera , Google Chrome, Safari, etc.). C'est le même et unique code exécutable (le même unique fichier ou unique répertoire) qui est partagé entre tous les navigateurs Web installés.

Attention à l'existence de versions 32 bits et 64 bits des plug-ins.
Vous devez installer la version 32 bits ou 64 bits d'un plug-in, selon que l'architecture de votre navigateur est 32 bits ou 64 bits. Si vous avez installé Firefox 32 bits et Firefox 64 bits, si vous avez installé Google Chrome 32 bits et Google Chrome 64 bits, etc. vous devez installer les deux versions, 32 bits et 64 bits, des plug-ins dont vous souhaitez la disponibilité dans les deux versions des navigateurs.

Si vous ne savez pas quelle version, 32 bits ou 64 bits, de chaque navigateur Web, est installée, exécutez l'outil dans chaque navigateur installé

Quel que soit le navigateur Web utilisé, une page ressemblant à l'image ci-dessous (en fonction de vos propres plug-ins) s'affiche. Le but de la manœuvre est de n'obtenir que des boutons verts (tous les plug-ins sont à jour).


Mise à jour de tous les plug-ins par la Fondation Mozilla - Détection du niveau de mise à jour des plug-ins et mise à jour des ces plug-ins
Mise à jour de tous les plug-ins par la Fondation Mozilla
Détection du niveau de mise à jour des plug-ins
Mise à jour des plug-ins



Comme on peut le voir sur la page Plugins et Extensions, les plug-ins sont des programmes partagés entre tous les navigateurs Web (un plug-in n'est installé qu'une fois dans un appareil et tous les navigateurs Web le détectent et en bénéficient).

Grâce à la Fondation Mozilla, qui est très chatouilleuse en termes de sécurité informatique et protection de la vie privée, la mise à jour de tous les plug-ins est devenue d'une simplicité enfantine et bénéficie à tous les navigateurs installés : Firefox, Internet Explorer, Opera , Google Chrome, Safari, etc., ainsi qu'aux navigateurs dérivés de ceux là, comme K-Meleon, Flock, etc.

Il y a toutefois quelques limitations à cette universalité, à propos d'Internet Explorer, à cause de la catastrophique technologie scélérate utilisée par Microsoft : ActiveX.

Navigateurs supportés par l'outil de la Fondation Mozilla

Navigateur

A partir de la version

Plugins analysés

Protection du navigateur, de la navigation et de la vie privée avec Safari

Apple Safari

4

Tous

Protection du navigateur, de la navigation et de la vie privée avec Google Chrome

Google Chrome

4

Tous

Protection du navigateur, de la navigation et de la vie privée avec Firefox

Mozilla Firefox

3.0+

Tous

Protection du navigateur, de la navigation et de la vie privée avec Opera

Opera

10.5

Tous

Protection du navigateur, de la navigation et de la vie privée avec Internet Explorer

Microsoft Internet Explorer

7+

Limité (BrowserPlug, Flash, Java, etc;) à cause de limitations techniques dues à la plateforme Microsoft et la technologie scélérate ActiveX.



Si vous utilisez plusieurs navigateurs Web (Il s'agit d'un cas de figure particulier, l'internaute n'utilisant, généralement, qu'un seul navigateur Web), et si vous ne savez pas si les uns sont en versions (en adressage) 32 bits et les autres en versions 64 bits, veuillez exécuter cet outil sous chaque navigateur Web installé. Les plug-ins peuvent, parfois, être différents selon le navigateur Web. C'est le cas dans les cinq captures d'écrans ci-après où la même page de l'outil de la Fondation Mozilla est ouverte, au même moment, dans chacun des cinq navigateurs Web installés sur le même appareil. On relève une divergence à propos de la mise à jour du plug-in de la technologie Java qui existe en version 32 bits et en version 64 bits. Après une mise à jour de tous les plug-ins sous un navigateur Web 32 bits, l'outil détecte une mise à jour manquante sous un navigateur Web 64 bits.

Mise à jour de tous les plugins dans Firefox
Mise à jour de tous les plug-ins dans Mozilla Firefox
32 bits
Mise à jour de tous les plugins dans Opera
Mise à jour de tous les plug-ins dans Opera
64 bits
Mise à jour de tous les plugins dans Google Chrome
Mise à jour de tous les plug-ins dans Google Chrome
32 bits
Mise à jour de tous les plugins dans Safari
Mise à jour de tous les plug-ins dans Apple Safari
32 bits
Mise à jour de tous les plugins dans Internet Explorer
Mise à jour de tous les plug-ins dans Microsoft Internet Explorer
Batard 32 et 64 bits



Devant les risques encourus à cause de certaines failles de sécurité et le laxisme des internautes à protéger les navigateurs et la navigation, d'une part, et à appliquer périodiquement les correctifs aux failles de sécurité d'autre part, la Fondation Mozilla, pour son navigateur Firefox, a mis en place, dès fin 2012, un dispositif qui lui permet d'alerter l'internaute lorsqu'un plug-in n'est pas à jour. Par défaut, le dispositif n'est pas contraignant (il n'oblige pas à procéder à la mise à jour).

Toutefois, la Fondation Mozilla peut déclencher un blocage contraignant d'un plug-in (la désactivation totale d'une technologie) si un risque de compromission critique des appareils est signalé. La Fondation Mozilla peut désactiver totalement, dans Firefox, un plug-in dont une faille de sécurité est découverte, dès que la faille de sécurité est découverte, même s'il n'existe pas encore de correction de la faille. Cela oblige l'utilisateur à procéder à la mise à jour sans délai dès que la correction est disponible. Cela met, également, la pression sur l'éditeur du plug-in, et accélère la production du correctif.

Mise à jour de tous les plugins - Ce plugin est vulnérable et doit être mis à jour
Mise à jour de tous les plug-ins - Ce plug-in est vulnérable et doit être mis à jour.

Ce dispositif a déclenché une tempête lorsqu'une faille de sécurité majeure (réellement affolante) fut découverte dans Java, début 2013, et fut immédiatement exploitée activement par les cybercriminels. Firefox (la Fondation Mozilla) a purement et simplement désactivé Java. Les utilisateurs de Firefox furent totalement pris au dépourvu (et protégés) et la perturbation se prolongea jusqu'à ce que la faille fut corrigée.

L'attitude de la Fondation Mozilla, éditrice de Firefox, pour dure et intransigeante qu'elle fut, est exemplaire et doit être applaudie. Elle a probablement sauvé la vie de dizaines de millions d'ordinateurs qui seraient devenus des zombies dans des Botnets ou auraient perdu la totalité de leurs fichiers sous une attaque d'un cryptoware irréversible avec demande de rançon immédiate.

Les autres navigateurs Web suivront très probablement cette posture, gage de qualité de service, qu'il faut considérer comme un devoir de leur part. Encore une fois, la Fondation Mozilla fait les standards du Web et donne l'exemple à suivre.



Alerte aux fausses mises à jour de Flash (pseudo mises à jour de Flash permettant de distribuer des malveillances).

Flash (Flash Player) est une technologie présente partout. A ce titre elle est du plus haut intérêt pour tous les cybercriminels.

Ne jamais suivre, nulle part, un lien vous suggérant de mettre à jour Flash (Flash Player). C'est une attaque implantant une ou plusieurs malveillances, parfois dramatiques et irréversibles (crypto-ransomware - liste), dans votre appareil.

Vous convaincre d'installer ces mises à jour malveillantes relève de l'Ingénierie sociale.

Flash (Flash Player) est une technologie propriétaire appartenant à la société Adobe et seul l'unique lien conduisant exclusivement au site adobe.com est crédible.



Alerte aux capacités étendues de Flash (Espionnage, caméra cachée et chantage, etc.)

Flash (Flash Player) a des capacités d'interactions très étendues, nécessaires pour, par exemple, développer des jeux interactifs. A cause de cela, Flash (Flash Player) est capable de capturer les mouvements du point d'insertion et du pointeur (souris, pad, etc.), les frappes au clavier (comme un keylogger, donc, les identifiants et mots de passe avant chiffrement (cryptage)), tous les sons au micro et tout ce que voit la caméra. Voir Flash Player - Réglages avec le gestionnaire des paramètres.



Tous les add-on (et tous les autres noms qu'on leur donne comme add-in, plug-in, greffon, extension, etc.) aux navigateurs Web qui communiquent avec l’extérieur, sous un prétexte quelconque, sont quasi exclusivement des opportunités de pratiquer le tracking (espionnage, surveillance et collecte de vos moindres faits et gestes sur le Web) par les requêtes HTTP qu'ils font à leurs serveurs.

N'installez jamais d'add-on dans vos navigateurs Web sans un impérieux besoin (et ne l'installez alors que dans un autre navigateur que celui utilisé habituellement, en évitant, évidemment, Chrome et Edge). Ces incrustations sont de la même nature que les incrustations Google Safe Browsing ou Microsoft SmartScreen (au sens du tracking). Tous essayent de rendre leurs add-on indispensables pour collecter et commercialiser nos données et se rapprocher du 1er cercle du pouvoir.

Un exemple inoubliable est l'add-on de WOT : Alerte - WOT espionne.





  • Mise à jour des plugins dans Safari