lundi 27 janvier 2014

Vie privée et sécurité pour Mozilla en 2013

Les atteintes à la vie privée et à la sécurité des données des internautes ont très souvent fait la une de l’actualité (y compris de l’actualité généraliste) en 2013. Les violations étaient dues aussi bien aux gouvernements qu’aux géants industriels du numérique.

Ces sujets sont au cœur des préoccupations de Mozilla aussi bien dans ses actions et prises de positions politiques (que nous verrons en leur temps) que dans la définition et l’implémentation de solutions logicielles pour protéger les internautes.

La sécurité en 2013

Frameworks de sécurité

En janvier, un article de Developpez.com basé sur un billet d’Yvan Boily, organisateur de la communauté sécurité, rapportait que Mozilla développait un framework gratuit de tests de sécurité pour le Web appelé Minion. Fin juillet, Yvan Boily sur le blog sécurité de Mozilla présentait Minion (en version 0.3), plateforme d’automatisation sécuritaire open source, et ses objectifs.

Le même jour, Michael Coates, directeur de l’assurance sécurité, sur le blog de Mozilla, en même temps qu’il présentait Minion, nous apprenait comment ils avaient collaboré avec Blackberry pour améliorer le framework de fuzzing Peach dans un billet intitulé Mozilla continue à construire le Web comme une plateforme pour la sécurité.

Fonctionnalités de sécurité dans Firefox

En août, Firefox 23 voyait l’arrivée du blocage du contenu mixte pour protéger des attaques de l’homme du milieu (man-in-the-middle) et des tentatives d’écoute. Fin septembre, Firefox 25 pour Android voyait lui aussi l’activation du blocage de contenu mixte. Concrètement, voir l’article de SUMO.

Toujours dans Firefox 23, les politiques CSP utilisant la syntaxe et la sémantique standard seront désormais forcées. Le standard CSP 1.0 permet aux développeurs Web d’avoir un plus grand contrôle sur leur contenu en les aidant à atténuer plusieurs risques de sécurité. En décembre, dans Firefox 26, l’implémentation de la politique de sécurité des contenus (CSP) supporte désormais plusieurs politiques, dont le cas d’à la fois une politique forcée et une politique uniquement d’envoi de rapports, conformément à la spécification.

En décembre, Firefox 26 comprenait la prise en charge de l’OCSP stapling, un mécanisme par lequel un site peut transmettre des informations de révocation de certificats aux visiteurs d’une manière qui préserve la vie privée et évolutive.

Firefox pour Android, depuis Firefox 18 sorti en janvier, dispose de la navigation sécurisée (protection contre le phishing et les malwares).

Primes pour les bogues

Le programme de prime pour les bogues de sécurité est toujours bien vivant et a aidé à résoudre une vulnérabilité de sécurité dans Persona, le mécanisme d’identification sécurisé pour le Web mis au point par Mozilla.

Tor Browser

Cet été, en août, la sécurité de Firefox a semblé être remise en cause dans les articles de presse qui ont rapporté que le FBI avait cassé l’anonymat du réseau TOR en s’appuyant sur une vulnérabilité de sécurité dans la version ESR de Firefox utilisée dans le Bundle Tor. Firefox 17 ESR avait pourtant été patché depuis juin 2013 par Mozilla. Même en ayant mis à jour le Tor Browser, le projet TOR conseillait, après bien sûr d’avoir mis à jour son navigateur, d’abandonner Windows et de désactiver le JavaScript.

Plugins

Les plugins sont un problème majeur de sécurité et de stabilité pour Firefox. Ces logiciels tiers permettent d’afficher des formats de contenu particuliers au sein des pages Web. Souvent relier à un logiciel extérieur (presque toujours propriétaire) installé sur le système de l’utilisateur, ces plugins affichent des jeux, des animations et des vidéos comme le très populaire Flash Player d’Adobe ou des applications complexes comme le très problématique Java d’Oracle. Voyez cette étude de Christian Sonne de fin mars : Plugins : utilisation, distribution et avenir dans Firefox.

Ces plugins (à ne pas confondre avec les extensions) sont grandement hors du contrôle du navigateur et de Mozilla. Mozilla maintient un service Web vérifiant si les plugins installés sont à jour, mais il n’est pas intégré au navigateur et est incapable de vérifier l’état de nombreux plugins. Mozilla doit s’en remettre aux systèmes de mise à jour des logiciels contrôlant ces plugins et à la bonne volonté de leur éditeur.

En avril, Vladan Djeric confirmait que les plugins étaient la cause numéro un des blocages de Firefox. Mozilla avait déjà pris des mesures importantes comme l’isolement des plugins dans des processus séparés depuis Firefox 3.6.4 ou la fonction Cliquer pour activer (click-to-play) avec liste de blocage des plugins (dans Firefox 17 fin 2012) qui combine contrôle par l’utilisateur et intervention à distance de Mozilla.

Au fil de l’année, Mozilla a navigué entre préservation du confort d’utilisation de Firefox et préservation de la sécurité de l’utilisateur. Fin janvier, ce sont les versions du plugin Adobe Flash obsolètes qui sont indiquées comme dangereuses par le Cliquer pour activer aux utilisateurs qui peuvent ensuite les réactiver explicitement. Le même jour, Michael Coates, directeur de l’assurance sécurité chez Mozilla, nous en disait plus sur les plans de Mozilla concernant la désactivation des plugins.

Depuis début avril et Firefox 20, quand un plugin se bloque pendant plus de 11 secondes, Firefox avertit l’utilisateur afin qu’il puisse redémarrer le plugin plutôt que de redémarrer le navigateur en entier. Firefox 23 a connu une simplification de l’interface de notification de l’installation des plugins. Résultat des expérimentations et des tests, Firefox 26 sorti en fin d’année suit plusieurs scénarios :

• Flash, le plugin ultra majoritaire, à jour sera activé par défaut (avec une icône des plugins dans la barre d’adresse permettant d’afficher l’interface du cliquer pour activer ce plugin avec un lien en savoir plus).
• Durant le développement de Firefox 26, Mozilla est revenu sur la décision de mettre par défaut tous les plugins, sauf la dernière version de Flash, en cliquer pour activer :
  

  Pour Firefox 26 et probablement 27, nous avons décidé de repousser le placement de tous les plugins sous ​​cliquer pour activer. Cela donnera à Tchad Weiner (NDT : directeur du marketing produit) une chance de définir une stratégie de liste blanche pour les éditeurs de plugins qui font une transition vers les technologies HTML5 mais ont besoin de temps supplémentaire pour achever cette transition. Donc pour l’instant, nous allons retourner l’état des plugins par défaut à activé et explicitement passer Java en cliquer pour activer. (Benjamin Smedberg)

• Java est en cliquer pour activer par défaut.
• Les versions obsolètes de Flash et des versions des plugins connues comme vulnérables sont en liste de blocage des plugins (voir plus haut) qui propose alors de les mettre à jour. L’utilisateur peut alors les activer par site en cliquant dans le panonceau appelable depuis la barre d’adresse.
• Les utilisateurs ayant installé l’extension idoine pourront les activer finement par élément.
• Les plugins sont blocables ou mettables en cliquer pour activer dans le gestionnaire de modules complémentaires (volet Plugins). L’état est mémorisé dans about:config sous des préférences en « plugin.state » pour empêcher la réactivation automatique du plugin.
• Dans le volet « Permissions » des « Informations sur la page » appelables depuis le menu contextuel, il est possible de changer les permissions par défaut, telles qu’elles sont dans le gestionnaire de module complémentaires, pour Toujours demander, Autoriser ou Bloquer chaque plugin.

Java tient une place particulière. Il est tellement utilisé pour infecter de nombreux utilisateurs que certains appellent à la fin de sa prise en charge dans Firefox (et ça devrait durer en 2014). Fin octobre, Mozilla a connu ce que Mike Kaply, spécialiste de la personnalisation de Firefox, a appelé la débâcle Java. Le 18, toutes les versions de Java ont été bloquées comme vulnérable par défaut dans Firefox via une mise à jour de la liste de blocage. Devant la protestation des utilisateurs de Java, le 23, le blocage comme vulnérable de la version à jour de Java a été annulé.

Enfin, comme le dit Benjamin Smedberg :

Les plugins étaient un important outil pour le prototypage et l’implémentation de nouvelles fonctionnalités telles que la vidéo et l’animation. Comme les navigateurs se sont perfectionnés, ce genre de fonctionnalités de développement peut exister directement dans le navigateur grâce à des technologies telles que WebGL, WebSockets, WebRTC et asm.js. Les projets de Mozilla tels que pdf.js et Shumway démontrent que les plugins peuvent être implémentés au sein de la plateforme Web.

En plus d’intégrer des fonctionnalités et standards de pointe qui peuvent être utilisées pour remplacer les fonctions dévolues auparavant aux plugins, Mozilla s’est engagé dans l’implémentation, en utilisant les technologies existantes comme HTML5 et JavaScript, de lecteurs intégrés des formats populaires restitués jusqu’alors par un plugin. Ainsi, Firefox 19 a inclus un lecteur de fichiers PDF intégré. Début octobre, le lecteur HTML5 de Flash, Shumway, a embarqué dans le codebase de Firefox : Shumway est mené par la communauté et soutenu par Mozilla. Notre objectif est de créer une plateforme Web polyvalente et basée sur les standards pour analyser et restituer les SWF. L’intégration à Firefox est une possibilité si l’expérience s’avère un succès.

Exposition

Réduction de l’empreinte

L’exposition des plugins installés sur le poste de l’utilisateur participe à son identification par le repérage et le pistage de ce que l’on appelle son empreinte. Fin novembre, dans Firefox 28 Nightly, désormais dans le canal Aurora, un patch a été incorporé pour dissimuler les plugins afin de limiter l’empreinte du navigateur. Ce problème de l’identification de l’utilisateur par son empreinte numérique est bien plus large que le repérage et le camouflage de ses plugins.

La navigation privée

La navigation privée est au nombre des fonctionnalités de sécurité et de préservation de la vie privée de Firefox. Début avril, Firefox 20 est sorti avec la navigation privée par fenêtre pour la version pour ordinateur et la navigation privée par onglet pour la version pour Android. Cette fonction ne vous rend pas anonyme sur Internet mais vous permet de ne pas laisser de trace de votre activité dans votre navigateur.

La vie privée en 2013

La vie privée en ligne a été centrale en 2013, faisant la une de la presse (même la presse généraliste). Les révélations « Snowden » ont touché les gouvernements – et en premier lieu celui du pays où sont installées MoFo, MoCo et la majorité des activités de Mozilla – et l’ensemble de ses principaux concurrents sur le marché des navigateurs et des systèmes d’exploitations mobiles. Mozilla a lutté au niveau politique (comme nous l’aborderons dans une prochaine partie de cette rétrospective) et dans son domaine du logiciel pour le respect de la vie privée des internautes – et pas uniquement de ses utilisateurs.

Reconnaissances

Fin janvier, Mozilla a été reconnue comme société Internet la plus digne de confiance pour la protection des renseignements personnels pour 2012 par l’institut Ponemon. En septembre, Forbes reconnaissait Mozilla comme une des entreprises qui respectent le mieux la vie privée.

Les cookies en 2013

Les crispations des publicitaires aux annonces de Mozilla sur le blocage des cookies tiers qui leur permettent de traquer l’activité des internautes à leur insu montrent la dépendance des publicitaires en ligne à ces pratiques.

Fin février, Mozilla a annoncé qu’il adopterait la politique pour les cookies de Safari pour Firefox 22 fin juin. Les réactions des publicitaires en ligne contre le blocage des cookies tiers par défaut dans Firefox ont été violentes. L’IAB Europe a critiqué la décision de Mozilla au nom de l’ouverture d’Internet. L’association de publicitaires IAB France accusait Mozilla de mettre en danger l’industrie de la publicité sur Internet et le droit au choix de l’internaute. Son président, Jérôme de Labriffe, estimait alors : Un acteur peut aussi prendre une décision unilatérale et prendre les internautes en otage. Si un acteur se le permet, il brise la neutralité du Net. L’Association des services internet communautaires (ASIC) qui regroupe des éditeurs de sites et des acteurs de la publicité s’est à son tour alarmée et a vu dans la décision de Mozilla une possible atteinte à la neutralité du Net, un risque financier pour les sites, voire à terme une remise en cause de la gratuité de certains services. Le vice-président de l’IAB, Mike Zaneis, a été jusqu’à évoquer une frappe nucléaire contre l’industrie de la publicité. En coulisses, certains ont vu aussi dans l’initiative de Mozilla la mainmise de Google, plus grande régie publicitaire du Web, dont dépend financièrement Mozilla.

Fort de soutiens comme celui de l’ISOC France qui voit dans la décision de Mozilla une mesure en faveur de l’internaute, Mozilla a réaffirmé ne pas chercher à tuer la publicité sur Internet et ne pas être des extrémistes anti-pub et a clarifié sa position sur ce sujet toujours en cours d’évaluation.

Ainsi, le 16 mai, Mozilla a retardé le blocage des cookies tiers par défaut dans Firefox. Dans Firefox 22 bêta, l’acceptation par défaut des seuls cookies tiers des sites déjà visités, était présente mais désactivée par défaut. Le 19 juin, Brendan Eich, CTO de Mozilla, a indiqué que le blocage des cookies traqueurs se ferait sur la
base de listes fournies par une branche de l’université de droit de Stanford en Californie en collaboration avec Opera, ce qui retardait de plusieurs mois l’implémentation d’une fonctionnalité dans ce domaine.

Les réactions enflammées des publicitaires ont alors redoublées au cours de l’été. En juillet, Randall Rothenberg, président de l’IAB, dans une longue tribune se demandait si Mozilla avait perdu ses valeurs. Au bord du délire, il accuse les « extrémistes » de Mozilla , en plus de vouloir créer des « oligopoles », de menacer l’écosystème d’Internet tout entier. Il dénonce encore la position autiste et la décision aveugle de Mozilla :

Peut-être pire encore est l’aveuglement de l’organisation en ce qui concerne son propre potentiel, puisque évoluant dans un cocon de techno-libertariens et d’élites universitaires qui croient en la liberté pour tous, tant qu’ils décident de la définition de cette liberté.

En août, la DAA s’est payée une pleine page dans Ad Age intitulée : empêcher Mozilla de détourner l’internet (voir aussi : Saviez vous que Mozilla est en train de détourner l’Internet ? par Glyn Moody).

En novembre, dans The Technology Chronicles, blog du SFGate, un représentant de l’Electronic Frontier Fondation accusait Mozilla d’avoir cédé à la pression de l’industrie publicitaire après un nouveau retard du blocage des cookies tiers par défaut dans Firefox. Mais il semble que Mozilla veuille adopter une approche plus globale du phénomène.

Lightbeam

Pourtant, fin octobre, Mozilla a relancé son extension montrant graphiquement aux utilisateurs de Firefox qui les traque sur le Web. L’outil de Mozilla appelé désormais « Lightbeam » leur révélera qui regarde par-dessus leur épaule sur le Web : Mozilla souhaite que les utilisateurs qui installent l’extension externalisent de façon ouverte leurs données afin de créer la première vue d’ensemble du pistage sur le Web, révélant les tiers les plus actifs. Voyez aussi la présentation d’Alex Fowler de Lightbeam pour Firefox : formation à la vie privée pour les utilisateurs et Open Data pour les éditeurs.

En 2013, depuis le lancement de Lightbeam pour Firefox, l’extension a été téléchargée presque un million de fois avec près de 500 000 utilisateurs quotidiens moyens.

Droit des marques contre l’espionnage

La gestion des cookies n’est pas la seule arme de Mozilla pour faire respecter la vie privée des internautes. En avril, Mozilla a envoyé une lettre de cease and desist à une société commerciale britannique qui vend des logiciels d’espionnage des citoyens à des États autoritaires en les faisant passer pour Firefox. Comme dans ce cas d’usage abusif de sa marque, Mozilla a déjà lutté contre les entreprises qui utilisent [ses] marques déposées pour amener les utilisateurs à télécharger des logiciels malveillants (malwares) livrant des informations personnelles ou faisant payer pour Firefox, parfois de façon très organisée et criminelle.

Do Not Track

L’échec des discussions sur la standardisation au W3C du Do Not Track, souvent mélangé dans la presse avec le blocage des cookies tiers, a sûrement déterminé Mozilla dans ses autres actions pour préserver la vie privée des internautes et, en particulier, des utilisateurs de Firefox et Firefox OS.

En parallèle des négociations au W3C, Mozilla a continué les développements autour du DNT. Début mai, Mozilla annonçait la mise à disposition du public d’un tableau de bord montrant le niveau d’adoption du DNT par les utilisateurs de Firefox. Après des tests tout le début de l’année, le 14 mai, dans Firefox 21 « Ne pas me pister » connaissait désormais trois états. La préférence réglée par défaut dans Firefox est désormais « Ne rien indiquer aux sites concernant mes préférences de pistage », tandis que l’utilisateur peut choisir explicitement d’indiquer aux sites Web qu’il ne souhaite pas être traqué ou qu’il choisisse de faire connaître à tous les sites Web qu’il souhaite être pisté pour, par exemple, bénéficier de publicités plus pertinentes.

En mai, Jonathan Mayer, rédacteur de la politique sur les cookies de Mozilla, éreinte les annonceurs et dit qu’ils refusent de négocier. Mi-juillet, Apple et Mozilla étaient très critiques contre les publicitaires dans le combat pour le « Do Not Track ». Au sein du groupe de standardisation du DNT au sein du W3C, une proposition dilatoire et floue des publicitaires était alors rejetée. Fin juillet, Jonathan Mayer démissionnait du groupe de travail Do Not Track du W3C à cause de l’enlisement irrémédiable des discussions qui n’en valaient pas la peine.

Fin octobre, The Register expliquait que le complot pour tuer le Do Not Track au W3C avait échoué d’une poignée de voix, que les publicitaires voulaient créer leur propre DNT et que les militants pour la vie privée avaient voté avec eux pour saborder le groupe de travail. Le même journal racontait début novembre comment le W3C avait rencontré son Waterloo à l’occasion de l’épreuve de force lors du vote sur le Do Not Track. Comment en était-on arrivé là ? C’est simple : l’argent. Et le mobile. À noter qu’Alex Fowler de Mozilla cité dans l’article s’était abstenu comme la majorité des membres du groupe de travail.

Personnalisation pour l’utilisateur

Voici peut-être la problématique qui pourrait répondre au contrôle par l’utilisateur pour ses données tout en bénéficiant d’une expérience utilisateur personnalisée. C’est ce que Tristan Nitot évoquait en juillet au moment du lancement d’une expérience de personnalisation pour l’utilisateur qui permet à ce dernier de communiquer ses sujets d’intérêts sur une base volontariste aux sites Web qu’il choisit.

En mai, Jay Sullivan, COO de Mozilla, écrivait sur le blog officiel de Mozilla un billet sur la personnalisation dans le respect. Il y donnait quelques exemples du travail que Mozilla fait pour explorer la personnalisation dans le respect : Persona (système d’identité pour le Web), Do Not Track (voir ci-dessus) et l’évaluation des politiques des cookies tiers – pour un meilleur équilibre entre publicités personnalisées et pistage des utilisateurs à travers le Web sans leur consentement.

Ce travail mené depuis plusieurs années devrait s’amplifier en 2014. En effet, fin novembre, Mozilla embauchait une vedette de la publicité numérique Darren Herman pour diriger une nouvelle unité des services de contenu (il rendra compte à Harvey Anderson, directeur des affaires juridiques ou à son successeur). Ces activités devraient développer les revenus de Mozilla dans les contenus et les services, rendant Mozilla moins dépendant de son partenaire mais néanmoins concurrent Google. Le nouveau positionnement de Mozilla qui place l’« intelligence » dans le navigateur, sous le contrôle de l’utilisateur, plutôt qu’en ligne, pourrait d’ailleurs l’opposer à ce géant protéiforme de la publicité en ligne.

D’aucuns appellent Mozilla à faire de Firefox LE navigateur centré sur la préservation de la vie privée de l’utilisateur. Firefox, le seul « grand » navigateur entièrement open source et dont vous pouvez tester l’intégrité, est régulièrement cité pour lutter au quotidien contre la surveillance publique et privée. Ce n’est pas par hasard si les navigateurs Tor Browser Bundle, basé sur une version modifiée de Firefox ESR, qui utilise le réseau ouvert TOR « en oignons », visant à protéger votre vie privée, vous défendre contre la surveillance des réseaux et l’analyse de trafic et le navigateur « anti-censure » de The Pirate Bay, lancé en août (basé sur Firefox 23 couplé à un client TOR, Vidalia) et dont il aura suffi de trois jours pour être téléchargé plus de 100 000 fois, qui permet à ses utilisateurs de passer outre les filtrages mis en place par leurs fournisseurs d’accès à internet et ainsi d’accéder aux sites bloqués, sont tous deux basés sur Firefox.

Et ce n’est pas fini…