La conspiration Firefox-Google ? Du n’importe quoi…

Publié le 28 septembre 2007 par Sinklar

Lors de l’arrivée de Firefox 2, une protection anti-phishing a été mise en place. A ce moment-là, il y a eu une petite polémique concernant le problème que ça pouvait poser au niveau de la vie privée.

Un utilisateur vient d’apprendre que Firefox 2 possède un mode de protection anti-phishing qui vérifie chaque adresse visitée en direct par rapport à une base de données de sites connus pour ou suspectés de phishing. Cette base de données étant maintenue par Google, ce dernier sait donc quelles adresses sont visitées. Si vous êtes connecté sur l’un des services de Google, il est même probable que les adresses que vous visitez soient connues.

Par défaut ce mode de protection est désactivé. Par contre, Firefox télécharge une liste des sites de phishing nouvellement répertoriés deux fois par heure, les adresses visitées sont comparées à cette liste et Google ne sait rien.

L’utilisateur en question mentionné ci-dessus, pensant que c’est nouveau, a écrit un billet sur Slashdot. Slashdot l’a approuvé. De son côté, The Inquirer trouve cette semaine un peu longuette au niveau des nouveautés à propos de Mozilla/Firefox et c’est le mieux qu’ils aient trouvé, donc Nick Farrel en a rédigé un article : « Google obtient des tonnes d’informations sur le genre de sites que vous visitez », peut-on lire en colonne principale.

Soit on attend que ça fasse tel quel le tour des blogs, sites d’actualité et de bookmarking, soit on clarifie la situation.

Clarifions tout ça :

  • La protection anti-phishing de Firefox 2 n’est pas une exclusivité de Google. Tout est prévu pour que d’autres puissent fournir une liste et l’y intégrer. Cependant aucun autre fournisseur, comme Netcraft ou McAfee, ne l’a fait. C’est d’autant plus dommage que ça apporterait une possibilité de choix aux utilisateurs et ça pourrait donner des débouchés supplémentaires à ces sociétés. Mozilla ne peut pas faire grand chose contre ça mis à part travailler avec ceux que ça intéresse.
  • Firefox 3 aura une protection anti-malware qui fonctionnera exactement de la même manière que le filtre anti-phishing, avec Google comme fournisseur de la base de données. A ce sujet, les utilisateurs peuvent dès lors se sentir aussi concernés ou indifférents qu’ils ne le sont maintenant. C’est donc ceci qui constitue la part de non-actualité du sujet.
  • Mozilla est en discussion avec StopBadware.org, une association indépendante contre les malwares (dont Google est un des sponsors, voir aussi ce billet), afin de l’inclure comme fournisseur supplémentaire de données de vérification. Sa politique sur la vie privée suggère que les rapports et requêtes restent chez StopBadware.org. Tout du moins il n’y est pas mentionné que « les données peuvent être partagées avec des partenaires » comme c’est parfois le cas.

Ce serait bien qu’il y ait une manière d’identifier les sites de phishing et de malware qui soit aussi efficace que celle implémentée dans Firefox (tout comme Opera et Internet Explorer), mais ne nécessitant pas le partage des adresses que vous visitez avec une tierce partie. Ou au moins il devrait y avoir une alternative à Google, car c’est trop de données cruciales (recherche, sites visités, email, calendrier… et tous les autres services de Google) pour une seule société.

Celui qui active ce système d’identification avancé le fait de son plein gré et doit connaître les risques.

Selon le Antiphishing Working Group, une association indépendante de compagnies impliquées dans le web, il y a eu plus de 31.000 nouveaux sites de phishing rien que pendant le mois de juin de cette année. Comparativement, ça signifie qu’il y a 21 de ces nouveaux sites qui apparaissent entre les deux mises à jour par heure du filtre, si vous utilisez le système de base. Est-ce assez sûr pour tout le monde ? Sans doute pas.

En résumé et pour terminer, il n’y a aucune nouveauté là-dedans (j’ai failli m’y laisser prendre moi-même) et pas de raison de crier au vol de données : oui, Firefox possède une protection anti-phishing avancée qui envoit les adresses des sites que vous visitez à Google, si vous l’activez. Il n’y a pour le moment pas d’autre moyen d’avoir un tel niveau d’efficacité, sauf si d’autres fournisseurs entraient dans la partie et que Firefox les intégrait. Certains d’entre eux ont choisi une autre voie en proposant leur propre produit, parfois sous forme la forme d’une extension. C’est la même chose pour la protection contre les malwares. Pour le moment seul StopBadware pourrait intervenir comme nouveau fournisseur.

Traduit et adapté de MozillaLinks.org

Recommander