Comment éviter que ce genre d'aventure nous arrive dans les futures épiceries décentralisées de Mozilla ?
apprendre aux gens à ne pas installer n'importe quoi me semble un premier combat de premier plan :) après, qu'ils comprennent ce que ça induit d'installer quelque chose, de se responsabiliser vis à vis de ça
C'est important, mais pas suffisant.
L'article fait une très bonne analyse des points qui mènent à l'abus d'extensions.
Ownership of a Chrome extension can be transferred to another party, and users are never informed when an ownership change happens
Zéro excuse pour Chrome. Chrome peut informer l'utilisateur de qui a donné l'ownership et qui l'a récupérer. Chrome peut tenter de fournir des indicateurs qui aideront l'utilisateur à décider s'il continue à faire confiance ou pas (par exemple, moyenne des notes des autres extensions créées par le nouveau possesseur. Ce n'est qu'un exemple, aux ingés de Google trouver de meilleurs idées).
there is currently no way to disable extension auto-updating
Zéro excuses là non plus, il faut donner l'option à l'utilsateur. Les utilisateurs peuvent avoir des niveaux de confiance différents, il faut les laisser l'exprimer, mais si par défaut l'auto-update est activé.
Even when you have it narrowed down to Chrome, since nothing detects a malicious Chrome extension, the best course of action is to meticulously check the latest reviews of every extension and hope that someone else has figured out where the ads are coming from. What can users do to protect themselves? It's very hard to keep yourself in the loop with Chrome extension updates. Extensions usually don't have changelogs
Les extensions qui seront victimes de ce genre de problèmes auront une bonne user base, donc dans le lot, il y a des gens qui vont désinstaller l'extension et/ou envoyer des revues avec des notes "0 étoile". Il est possible pour Chrome de constater des effets de masse brutaux et de prévenir tout le monde. Par exemple, si en 2 jours, 5% des utilisateurs ont désinstallé l'extension ou si sur la dernière semaine, la moyenne des notation est bien plus faible que la moyenne totale, prévenir tous les utilisateurs que telle extension a une grosse baisse de popularité. Chaque utilisateur pourra faire le choix d'ignorer ou de se renseigner plus sur le problème. Là encore, je donne un exemple pensé en 5 mins ; je laisse aux ingés de Google le soin de penser à qqch de plus intelligent et robuste.
Extensions are synced to your Google account, which means that even wiping out a computer and reinstalling the OS will not remove the malware—signing-in to Chrome will just download it again.
En théorie, si les 3 points plus haut sont réglés, celui-là n'est plus un problème.
En conclusion, éduquer les utilisateurs sur les conséquences du choix d'installer des extensions, c'est bien, mais leur donner plus de choix (désactiver auto-update) et les informer suffisamment pour savoir s'ils continuent à faire confiance (changement d'ownership, baisse soudaine de popularité), c'est aussi un pas dans le bon sens. Et ce pas est à la portée à court terme de Google. Alors qu'éduquer deux milliards d'internautes sur le fait qu'une update, c'est une injection de code potentiellement malicieux que les antivirus ne détectent pas, c'est un travail de titan même pas à la portée de Google à mon avis...
Sur le principe, forcément, donner le choix est toujours positif. Maintenant dans le débat qui nous occupe ça serait au mieux une déresponsabilisation de la part de, ça ne résout rien.
J'informe l'utilisateur pour dire que l'extension de Christian Domingo est maintenant gérée, avec l'autorisation de ce dernier, par Pascal Wheeze. Il ne connaissait déjà pas Christian Domingo à la base. D'ailleurs il n'a aucun moyen de savoir si ce sont des noms réels, de faux profils ou même des noms empruntés à des personnes réelles tierces.
Au mieux il fait une requête sur son moteur de recherche préféré, passe une heure à explorer linkedin, twitter et facebook pour au final dire "oui" ou "non" en fonction du métier et du ressenti de quelques écrits en ligne, peut être même pas dans une langue qu'il parle.
Auto-update ? Donc au mieux il va arbitrairement choisir de ne pas mettre à jour alors que le navigateur lui conseille par défaut de le faire, pour ensuite juger au cas par cas en fonction des messages de mise à jour, qui bien sûr ne pourront pas donner un vrai aperçu de ce qu'il se passera.
Même pour nous quatre, c'est un faux choix. Alors pour des gens qui ne parlent pas forcément anglais, qui ne comprennent pas les enjeux techniques, c'est non seulement une fausse sécurité mais en plus potentiellement contre-productif (quand il aura refusé une mis à jour essentielle pour sa sécurité ou qu'il restera sur une vieille version qui pose des problèmes à des tiers, on sera bien avancés).
Personnellement Peugeot me dirait "dorénavant la pièce de plastique du tableau de bord est géré par le sous-prestataire AF Technology S.A. au lien de G.H.Y. Inc., vous achetez quand même ? J'aurai l'air bien fin. Citroën lors du contrôle technique me dit "Citroën conseille de mettre à jour le logiciel de contrôle de l'ABS, il y a potentiellement une amélioration de sécurité" vous pensez vraiment que le choix m'apporte quelque chose ?
Il s'agit de ne pas se méprendre : Il faut laisser le choix. Mais ça ne résout pas du tout le problème posé par les extensions.