Mozilla veut sécuriser Firefox en contrôlant toutes les extensions

Mozilla vient d'annoncer un changement très important pour les extensions de Firefox. À l'heure actuelle, la fondation est très souple avec ces petits programmes qui enrichissent ou modifient le navigateur. Il y a bien des règles à suivre, comme ne pas changer la page d'accueil sans le consentement de l'utilisateur, mais les extensions qui ne les suivent pas sont hors de portée de Mozilla puisqu'elles sont proposées en dehors de son centre de téléchargements.

Afin de contrecarrer ces programmes malicieux, tous les add-ons devront être signés dans les mois à venir. Ceux qui ne le seront pas ne pourront plus être installés.

Les extensions qui figurent sur la plateforme de téléchargements de Mozilla seront automatiquement signées. Cette mesure de sécurité sera donc transparente pour la plupart des utilisateurs puisqu'on y trouve les plus populaires, comme Adblock Plus, NoScript et Ghostery, entre autres.

Les extensions qui ne sont pas aujourd'hui sur cette plateforme devront passer son étape de validation pour être signées (le processus de validation est automatisé). Une fois l'extension signée, le développeur pourra continuer à la proposer sur son propre site.

Comme toujours avec ce type de mesure, il y a quelques exceptions. Pour les extensions qui sont utilisées exclusivement en privé, il y aura une autre possibilité qui sera dévoilée prochainement. De plus, les versions Nightly et Developer Edition de Firefox auront toujours la possibilité d'installer des add-ons non signés.

Mozilla prévoit dans un premier temps d'afficher uniquement un avertissement lorsque l'utilisateur installe une extension non vérifiée. Cette alerte devrait apparaître dans Firefox 39 qui sortira au deuxième trimestre. Trois mois plus tard, ces extensions non signées ne seront plus installables sur les versions stable et bêta du navigateur.

La fondation ne prévoit pas a priori de désactiver les add-ons non signés qui sont déjà installés, mais d'autres changements dans Firefox (notamment le système multi processus e10s) vont obliger les développeurs à mettre à jour leur création, et donc à passer par l'étape de validation.