Mozilla et Opera ont supprimé de leurs boutiques d’extensions toutes celles liées à AVG et Avast. Quatre sont concernées, en conséquence de deux billets de blog publiés par Wladimir Palant, auteur d’Adblock Plus.
Avast Online Security, AVG Online Security, Avast SafePrice et AVG SafePrice n’apparaissent plus dans les deux catalogues, mais ne sont pas sur liste noire. À l’origine de ce ménage, une double publication de Wladimir Palant, qui s’est inquiété de leur appétit féroce en données de navigation, en violation manifeste des conditions d’utilisation.
Avast a réagi et indiqué qu’un travail d’adaptation étaient en cours. Google, pourtant avertie du problème, n’a pour l’instant rien fait.
Que s’est-il passé ?
Le 28 octobre, Wladimir Palant publie un premier billet de blog. Il a analysé deux extensions, Avast Online Security et AVG Online Security et fait des découvertes troublantes. Les extensions collectent en effet plus de données qu’elles ne devraient, même en tenant compte de leur fonction première, c’est-à-dire apporter une sécurité supplémentaire.
Elles envoyaient ainsi l’adresse complète de chaque page, son titre, le référent et d’autres données comprises dans la requête. Ces informations sont envoyées à chaque ouverture de site ou lors d’un changement d’onglet. Lors d’une recherche sur Google ou n’importe quel autre moteur de recherche, chaque lien de résultat est également envoyé à Avast.
« Les données collectées ici vont bien au-delà de la simple exposition des sites que vous visitez et de votre historique de recherche. Pister les identifiants des onglets et des fenêtres aussi bien que vos actions permet à Avast de créer une reconstruction presque précise de vos habitudes de navigation : combien d’onglets vous avez ouvert, les sites que vous avez visités et quand, combien de temps vous passez à lire/regarder le contenu, ce que vous cliquez et quand vous basculez sur un autre onglet. Tout cela est connecté à un nombre d’attributs permettant à Avast de vous reconnaître de manière fiable, même un identifiant utilisateur unique », expliquait ainsi Palant.
Le développeur répondait alors de lui-même à la question sous-jacente : une telle quantité d’informations est-elle nécessaire pour assurer la protection de l’utilisateur ? Réponse nette : « Non ». Et pour preuve, il citait le cas de Google Safe Browsing, intégré à Firefox depuis 2006 et téléchargeant une liste de sites à bloquer, qui pouvait alors être comparée localement. Ainsi, pas besoin d’envoyer quoi que ce soit aux serveurs.
Plonger dans les conditions d’utilisation d’Avast n’a guère aidé. L’éditeur évoque bien les données collectées à « fins de recherche », mais ne dit rien sur leur éventuelle sauvegarde.
Le 3 décembre, Wladimir Palant publie un deuxième billet de blog. Il s’étonnait que le premier n’ait pas reçu plus d’attention. Il ajoute qu’aux deux extensions déjà nommées, deux autres s’ajoutent, pour les mêmes raisons : Avast SafePrice et AVG SafePrice.
Cette fois, il précise que les quatre extensions ont été signalées à Google, Mozilla et Opera, puisqu’elles violent toutes les conditions d’utilisation.
16 heures après le rapport, Mozilla supprime les extensions. Dans les heures suivantes, Opera fait de même. Google n’a toujours pas réagi.
Des extensions supprimées, mais pas bloquées
Il y a une nuance fondamentale entre la suppression et le blocage d’extensions. Dans le premier cas, elles sont « simplement » retirées du catalogue. C’est d’autant plus important pour Mozilla que Firefox met maintenant en avant les extensions qu’il juge « de confiance » et que l’éditeur s’interpose entre le stock disponible et l’utilisateur pour le guider. La confiance est donc un élément important de la réussite.
Plus d'extensions Avast ni Avg dans Firefox et Opera
Même chose – en quelque sorte – chez Opera. L’éditeur ne renvoie pas simplement vers le Chrome Web Store, alors qu’il pourrait le faire, puisqu’Opera est basé sur Chromium.
La liste noire, cependant, est une autre paire de manches. Tenue à jour par Mozilla, elle est librement accessible en ligne. Une fois qu’une référence y est ajoutée, non seulement l’extension disparaît du catalogue, mais Firefox dispose en plus d’un « kill switch ». En clair, le signal est envoyé à toutes les machines où l’extension est repérée, provoquant sa suppression. Ne sont bien sûr ajoutées que celles représentant un danger établi.
La liste ne sert d’ailleurs pas qu’aux extensions créées spécifiquement dans un but malveillant, même si c’est bien à elles que l’on pense en premier. Il suffit d’y jeter un œil pour se rendre compte que les deux dernières entrées (4 décembre) sont tout simplement de vieilles versions du lecteur Flash.
Avast travaille à corriger le tir
L’éditeur des antivirus Avast et AVG a répondu à ZDnet sur le sujet. « L’extension Avast Online Security est un outil de sécurité qui protège l’utilisateur en ligne, y compris contre les sites infectés et les attaques par phishing. Il est nécessaire pour ce servir de collecter l’historique des URL pour fournir la fonction attendue. Avast le fait sans collecter ou stocker l’identification de l’utilisateur ».
On ne sait pas ce qu’il en est effectivement du stockage, mais la réponse sur la collecte contredit les conclusions de Wladimir Palant. En outre, Avast ne cite qu’une extension sur les quatre.
L’éditeur continue : « Nous avons déjà implémenté quelques-uns des nouveaux prérequis de Mozilla et publierons plus tard des versions mises à jour qui seront pleinement conformes et transparentes ».
Nous avons interrogé Mozilla sur le processus en cours. L’éditeur s’est montré des plus évasif : « Dès que Mozilla a connaissance de problèmes de non-conformité des extensions par rapport à ses politiques d'add-ons, Mozilla peut les supprimer de sa bibliothèque d’extensions ». On peut effectivement le constater. Nous avons demandé des détails, sans réponse pour l’instant.
Les extensions sont toujours présentes dans le Chrome Web Store
Quant à Google, les quatre extensions sont toujours sur son Chrome Web Store. Wladimir Palant n’est pas surpris : « La seule manière officielle de signaler une extension est le lien "Signaler un abus". Je l’ai déjà utilisé bien sûr, mais l’expérience a montré qu’il n’a jamais aucun effet. Les extensions n’ont été supprimées du Web Store qu’après une couverture médiatique considérable ».
Même si l’historique d’Avast va davantage dans le sens d’une « erreur de bonne foi », on ne saurait jamais être trop prudent dans ce domaine. Les internautes sont plus sensibilisés aujourd’hui aux questions de sécurité et de vie privée (une bonne part de la politique de Mozilla va d’ailleurs en ce sens), et on attend que tous les éditeurs en prennent la mesure. Peut-être finira-t-on par observer un changement global de paradigme dans ce domaine, avec une seule règle, comme un mantra : ne toujours demander que le strict nécessaire d’informations. La notion de « nécessité » semble encore floue pour certains.