Java a eu une année bien difficile notamment avec les diverses attaques zero-day auxquelles elle est confrontée, et puis possiblement peut connaître une deuxième attaque potentiellement plus dévastatrice, vendues aux enchères à des hackers inconnus. Pour éviter que les attaques comme celles-ci n’affectent les utilisateurs, Mozilla étend la liste de plugins qui sont désactivés par son bloqueur click-to-play.
En effet, la fondation Mozilla a annoncé hier que Click to Play, qui a été introduit dans Firefox 17, va disposer de davantage de plugins bloqués.
Pour ceux qui ne savent pas ce qu’est Click to Play, cette fonctionnalité fait en sorte que l’utilisateur doit activer manuellement le plugin demandé sur un site Web particulier. Par exemple, un utilisateur visite YouTube pour regarder une vidéo en Flash. Firefox va automatiquement bloquer le lancement de Flash jusqu’à ce que l’utilisateur donne son autorisation. Bien sûr, YouTube est un site de confiance, les utilisateurs pourront donc l’ajouter à une « liste blanche » dans laquelle tout le contenu Flash sur YouTube sera immédiatement lancé. Mais c’est l’idée.
Outre l’exemple ci-dessus, Mozilla pense que Click to Play a un certain nombre d’avantages pour les utilisateurs de Firefox. Pour commencer, les utilisateurs ont plus le contrôle sur les plugins qu’ils veulent voir fonctionner sur leurs machines. Comme je l’ai déjà mentionné, outre le fait de mettre les plugins de certains sites dans une « liste blanche » – sites de confiances, à contrario les utilisateurs peuvent également mettre des sites en « liste noire », s’ils ne veulent pas que certains plugins se lancent lors de la navigation sur ce dernier.
Comme vous pouvez le voir ci-dessous, les utilisateurs de Firefox seront avertis dès lors qu’un plugin est vulnérable et l’empêchera de se charger automatiquement. S’il y a une mise à jour disponible, vous serez invité à mettre à jour le plugin. Dans le pire des cas, vous serez en mesure d’utiliser le plugin en cliquant sur le bouton « Play » si vous le souhaitez.
Mozilla estime que c’est la meilleure solution d’être alerté pour que les plugins qui sont obsolètes et donc potentiellement dangereux.
Les performances de Firefox et la stabilité ont également été améliorées grâce à Click to Play. Mozilla affirme que la principale cause d’instabilité de Firefox est due à charger les plugins quand il ne sont pas requis, ainsi que lorsqu’il s’agit « pluging mal conçu par un tiers » – comme Silverlight ou Java.
Le plus grand avantage de l’utilisation de Click to Play se présente sous la forme d’améliorations de la sécurité. Comme je l’ai indiqué hier, une étude a révélé que les logiciels malveillants ne feront qu’augmenter cette année, et Java restera un logiciel hautement exploitable. C’est là que Click to Play entre en jeu. Firefox pourra alerter les utilisateurs en cas de menaces en stoppant le fonctionnant d’un plugin, et ce jusqu’à ce que l’utilisateur ait vérifié si le site est malveillant ou non.
Dans les futures versions de Click to Play, Mozilla a ajouté un certains nombres de plugins au sein de sa liste de blocage, hormis la dernière version de Flash Player. Les plugins précédemment ajoutés comprennent les anciennes versions de Java et Silverligt. Les anciennes versions de Flash seront bientôt ajoutées aux côtés des versions actuelles de Silverlight, Java et Acrobat Reader.
Nous voilà protégés ? Je ne pense pas…