Comment éviter que ce genre d'aventure nous arrive dans les futures épiceries décentralisées de Mozilla ?
apprendre aux gens à ne pas installer n'importe quoi me semble un premier combat de premier plan :) après, qu'ils comprennent ce que ça induit d'installer quelque chose, de se responsabiliser vis à vis de ça
C'est important, mais pas suffisant.
L'article fait une très bonne analyse des points qui mènent à l'abus d'extensions.
Ownership of a Chrome extension can be transferred to another party, and users are never informed when an ownership change happens
Zéro excuse pour Chrome. Chrome peut informer l'utilisateur de qui a donné l'ownership et qui l'a récupérer. Chrome peut tenter de fournir des indicateurs qui aideront l'utilisateur à décider s'il continue à faire confiance ou pas (par exemple, moyenne des notes des autres extensions créées par le nouveau possesseur. Ce n'est qu'un exemple, aux ingés de Google trouver de meilleurs idées).
there is currently no way to disable extension auto-updating
Zéro excuses là non plus, il faut donner l'option à l'utilsateur. Les utilisateurs peuvent avoir des niveaux de confiance différents, il faut les laisser l'exprimer, mais si par défaut l'auto-update est activé.
Even when you have it narrowed down to Chrome, since nothing detects a malicious Chrome extension, the best course of action is to meticulously check the latest reviews of every extension and hope that someone else has figured out where the ads are coming from. What can users do to protect themselves? It's very hard to keep yourself in the loop with Chrome extension updates. Extensions usually don't have changelogs
Les extensions qui seront victimes de ce genre de problèmes auront une bonne user base, donc dans le lot, il y a des gens qui vont désinstaller l'extension et/ou envoyer des revues avec des notes "0 étoile". Il est possible pour Chrome de constater des effets de masse brutaux et de prévenir tout le monde. Par exemple, si en 2 jours, 5% des utilisateurs ont désinstallé l'extension ou si sur la dernière semaine, la moyenne des notation est bien plus faible que la moyenne totale, prévenir tous les utilisateurs que telle extension a une grosse baisse de popularité. Chaque utilisateur pourra faire le choix d'ignorer ou de se renseigner plus sur le problème. Là encore, je donne un exemple pensé en 5 mins ; je laisse aux ingés de Google le soin de penser à qqch de plus intelligent et robuste.
Extensions are synced to your Google account, which means that even wiping out a computer and reinstalling the OS will not remove the malware—signing-in to Chrome will just download it again.
En théorie, si les 3 points plus haut sont réglés, celui-là n'est plus un problème.
En conclusion, éduquer les utilisateurs sur les conséquences du choix d'installer des extensions, c'est bien, mais leur donner plus de choix (désactiver auto-update) et les informer suffisamment pour savoir s'ils continuent à faire confiance (changement d'ownership, baisse soudaine de popularité), c'est aussi un pas dans le bon sens. Et ce pas est à la portée à court terme de Google. Alors qu'éduquer deux milliards d'internautes sur le fait qu'une update, c'est une injection de code potentiellement malicieux que les antivirus ne détectent pas, c'est un travail de titan même pas à la portée de Google à mon avis...
Éduquer est nécessaire mais malheureusement pas suffisant. Parce qu’on n’a matériellement pas le temps de tout contrôler, et qu’il faut pouvoir déléguer ce contrôle à des gens potentiellement de confiance. En matière de logiciel, je délègue ma confiance à deux organisations : Debian et Mozilla. J’installe et met à jour des logiciels depuis leurs sites les yeux fermés. Malheureusement, il y a des cas où le logiciel dont j’ai besoin n’est pas disponible sous Debian, et où je l’installe depuis une source de confiance moindre. C’est typiquement le cas pour toutes les dépendances de paquets Ruby ou Node.js que j’installe les yeux fermés, en priant simplement que si l’un d’eux pose problème, quelqu’un sur les Internet finira bien par s’en rendre compte et que l’information finira par arriver devant mes yeux. Mais je suis conscient que c’est de la pensée magique à la fiabilité toute aléatoire.
Je pense que des autorités de délégation de confiance sont indispensables à la vie en société. L’important n’est pas tant de déléguer que de pouvoir choisir à qui on délègue. Je n’ai personnellement aucune confiance en Apple, mais je comprend que d’autres puissent leur faire confiance. Dans ce cas, le modèle de vérification draconienne des applications sur l’App Store est une bonne chose. Le souci est qu’il mélange vérification technique et validation morale, donc qu’en acceptant l’une je sois forcé d’accepter l’autre. Je ne jette pas la pierre à Apple, Mozilla, pour des raisons respectables, interdit également certains contenus dans son épicerie.
Donc l’enjeu c’est de créer des épiceries auxquelles on puisse déléguer la vérification des logiciels et auxquelles on fasse confiance, tant d’un point de vue technique que moral. Mais la validation de logiciels est un gros travail, et il ne devrait pas forcément être effectué gratuitement par des bénévoles. Il faut donc également réfléchir au moyen de rémunérer ce travail.
Quant à mieux informer les utilisateurs pour leur permettre de faire des choix éclairés, c’est indispensable, mais là encore je crains que ça ne soit pas suffisant. Nous sommes confrontés à des choix toute la journée, qui nous bouffent du temps de cerveau disponible. Je ne crois pas que, aussi conscient soit-on de l’importance de chacun de ces choix, on les fasse tous de manière raisonnable. Lorsque je met à jour ma machine tous les matins en me brossant les dents, j’ai rarement le temps de lire les notes de révision et les avertissements sur les modifications de comportement de paquets. Je sais que c’est important, je sais que j’ai déjà payé mon manque d’attention. Malgré tout, je continue à agir ainsi en dilettante, parce que sinon je vais encore être en retard.
Par ailleurs, j’accorde ma confiance à Mozilla, pas à tel ou tel développeur d’application. Je me fous de savoir si le propriétaire a changé. J’ai installé l’extension parce qu’elle était sur le site de Mozilla, je la met à jour pour la même raison, en me disant que si elle devient frauduleuse, Mozilla cessera de la diffuser. Mais si le développeur de l’extension change juste sa politique, met en place un pistage des utilisateurs, ou de la réclame au sein de son application… je me ferai avoir. Parce que ça n’empêchera pas l’application d’être encore distribuée, et parce que je n’aurai pas lu les notes de version qui l’annoncent.
Je ne sais pas quoi faire :(