Une fonction « click-to-play », qui autorise les extensions, est présente dans Firefox depuis la version 17, lancée en novembre dernier, mais Mozilla veut restreindre encore plus l'usage des plug-ins dans son navigateur. Par défaut, cette fonction bloquera l'activation des extensions, mais les utilisateurs pourront reprendra la main en cliquant sur une zone de contenu grisée apparaissant sur la page web. La procédure est devenue banale, les éditeurs de navigateurs Internet essayant de protéger les utilisateurs de la prolifération de malware qui tentent d'exploiter les failles des extensions pour mener des attaques, en particulier sur ceux de Java. Jusque-là, la fonction « click-to-play » ne se déclenchait que pour les plug-ins identifiés comme dangereux ou très obsolètes par Mozilla dont l'éditeur a publié la liste.

Depuis mardi, Firefox bloque également les versions 10.2.x et antérieures du Player Flash. C'est une première étape avant l'interdiction de pratiquement tous les plug-ins. Sous OS X Snow Leopard, Lion et Mountain, la dernière version du player Flash est la 11.5.x, et sous Windows, toutes éditions confondues, mis à part Windows 8, la dernière version disponible du plug-in est la 11.3.x. Sous OS X Tiger et Leopard, la version la plus à jour du plug-in Flash est la 10.3.x. Si Mozilla n'a pas encore défini de calendrier global pour la désactivation automatique, il va bientôt bloquer tous les modules Flash qui ne seront pas à jour. Le blocage s'appliquera aussi à des plug-ins populaires comme Acrobat Reader d'Adobe, Silverlight de Microsoft et Java d'Oracle, sauf si la dernière version est installée.

Améliorer la stabilité de Firefox


Java a été particulièrement exposé ces derniers temps. Plus tôt ce mois-ci, un code malveillant exploitant une vulnérabilité critique du plug-in Java a été retrouvé dans des boîtes à outils pour pirates. Et alors qu'Oracle a rapidement corrigé le bug, des chercheurs ont découvert que le correctif publié par Oracle comportait une faille, affirmant que la sandbox anti-exploit de Java pouvait être détournée. L'US Computer Emergency Readiness Team (US-CERT) a même recommandé aux utilisateurs de désactiver le plug-in Java jusqu'à nouvel ordre.

Pour Mozilla cette décision radicale est nécessaire. Elle permettra de protéger les utilisateurs contre les attaques dites de « drive-by » (contournement), qui exploitent les failles des plug-ins dès que la victime visite un site web malveillant ou compromis. L'éditeur du navigateur Open Source a également invoqué des raisons de stabilité. « En activant seulement les plug-ins que l'utilisateur souhaite charger, nous contribuons à éliminer les ralentissements, les plantages et à éviter d'autres conséquences indésirables », a écrit dans un blog Michael Coates, le directeur de la sécurité chez Mozilla.

Mozilla sera le premier éditeur de navigateur à désactiver la majeure partie des plug-ins par défaut. Chrome et Opera Software sont aussi équipés de la fonction click-to-play, mais ils laissent libre choix à l'utilisateur de l'activer par défaut.