Vie privée : les extensions Avast supprimées de Firefox et Opera, un patch en attente
Google en vacances
Le 05 décembre 2019 à 15h55
7 min
Logiciel
Logiciel
Mozilla et Opera ont supprimé de leurs boutiques d’extensions toutes celles liées à AVG et Avast. Quatre sont concernées, en conséquence de deux billets de blog publiés par Wladimir Palant, auteur d’Adblock Plus.
Avast Online Security, AVG Online Security, Avast SafePrice et AVG SafePrice n’apparaissent plus dans les deux catalogues, mais ne sont pas sur liste noire. À l’origine de ce ménage, une double publication de Wladimir Palant, qui s’est inquiété de leur appétit féroce en données de navigation, en violation manifeste des conditions d’utilisation.
Avast a réagi et indiqué qu’un travail d’adaptation étaient en cours. Google, pourtant avertie du problème, n’a pour l’instant rien fait.
Que s’est-il passé ?
Le 28 octobre, Wladimir Palant publie un premier billet de blog. Il a analysé deux extensions, Avast Online Security et AVG Online Security et fait des découvertes troublantes. Les extensions collectent en effet plus de données qu’elles ne devraient, même en tenant compte de leur fonction première, c’est-à-dire apporter une sécurité supplémentaire.
Elles envoyaient ainsi l’adresse complète de chaque page, son titre, le référent et d’autres données comprises dans la requête. Ces informations sont envoyées à chaque ouverture de site ou lors d’un changement d’onglet. Lors d’une recherche sur Google ou n’importe quel autre moteur de recherche, chaque lien de résultat est également envoyé à Avast.
« Les données collectées ici vont bien au-delà de la simple exposition des sites que vous visitez et de votre historique de recherche. Pister les identifiants des onglets et des fenêtres aussi bien que vos actions permet à Avast de créer une reconstruction presque précise de vos habitudes de navigation : combien d’onglets vous avez ouvert, les sites que vous avez visités et quand, combien de temps vous passez à lire/regarder le contenu, ce que vous cliquez et quand vous basculez sur un autre onglet. Tout cela est connecté à un nombre d’attributs permettant à Avast de vous reconnaître de manière fiable, même un identifiant utilisateur unique », expliquait ainsi Palant.
Le développeur répondait alors de lui-même à la question sous-jacente : une telle quantité d’informations est-elle nécessaire pour assurer la protection de l’utilisateur ? Réponse nette : « Non ». Et pour preuve, il citait le cas de Google Safe Browsing, intégré à Firefox depuis 2006 et téléchargeant une liste de sites à bloquer, qui pouvait alors être comparée localement. Ainsi, pas besoin d’envoyer quoi que ce soit aux serveurs.
Plonger dans les conditions d’utilisation d’Avast n’a guère aidé. L’éditeur évoque bien les données collectées à « fins de recherche », mais ne dit rien sur leur éventuelle sauvegarde.
Le 3 décembre, Wladimir Palant publie un deuxième billet de blog. Il s’étonnait que le premier n’ait pas reçu plus d’attention. Il ajoute qu’aux deux extensions déjà nommées, deux autres s’ajoutent, pour les mêmes raisons : Avast SafePrice et AVG SafePrice.
Cette fois, il précise que les quatre extensions ont été signalées à Google, Mozilla et Opera, puisqu’elles violent toutes les conditions d’utilisation.
16 heures après le rapport, Mozilla supprime les extensions. Dans les heures suivantes, Opera fait de même. Google n’a toujours pas réagi.
Des extensions supprimées, mais pas bloquées
Il y a une nuance fondamentale entre la suppression et le blocage d’extensions. Dans le premier cas, elles sont « simplement » retirées du catalogue. C’est d’autant plus important pour Mozilla que Firefox met maintenant en avant les extensions qu’il juge « de confiance » et que l’éditeur s’interpose entre le stock disponible et l’utilisateur pour le guider. La confiance est donc un élément important de la réussite.
Plus d'extensions Avast ni Avg dans Firefox et Opera
Même chose – en quelque sorte – chez Opera. L’éditeur ne renvoie pas simplement vers le Chrome Web Store, alors qu’il pourrait le faire, puisqu’Opera est basé sur Chromium.
La liste noire, cependant, est une autre paire de manches. Tenue à jour par Mozilla, elle est librement accessible en ligne. Une fois qu’une référence y est ajoutée, non seulement l’extension disparaît du catalogue, mais Firefox dispose en plus d’un « kill switch ». En clair, le signal est envoyé à toutes les machines où l’extension est repérée, provoquant sa suppression. Ne sont bien sûr ajoutées que celles représentant un danger établi.
La liste ne sert d’ailleurs pas qu’aux extensions créées spécifiquement dans un but malveillant, même si c’est bien à elles que l’on pense en premier. Il suffit d’y jeter un œil pour se rendre compte que les deux dernières entrées (4 décembre) sont tout simplement de vieilles versions du lecteur Flash.
Avast travaille à corriger le tir
L’éditeur des antivirus Avast et AVG a répondu à ZDnet sur le sujet. « L’extension Avast Online Security est un outil de sécurité qui protège l’utilisateur en ligne, y compris contre les sites infectés et les attaques par phishing. Il est nécessaire pour ce servir de collecter l’historique des URL pour fournir la fonction attendue. Avast le fait sans collecter ou stocker l’identification de l’utilisateur ».
On ne sait pas ce qu’il en est effectivement du stockage, mais la réponse sur la collecte contredit les conclusions de Wladimir Palant. En outre, Avast ne cite qu’une extension sur les quatre.
L’éditeur continue : « Nous avons déjà implémenté quelques-uns des nouveaux prérequis de Mozilla et publierons plus tard des versions mises à jour qui seront pleinement conformes et transparentes ».
Nous avons interrogé Mozilla sur le processus en cours. L’éditeur s’est montré des plus évasif : « Dès que Mozilla a connaissance de problèmes de non-conformité des extensions par rapport à ses politiques d'add-ons, Mozilla peut les supprimer de sa bibliothèque d’extensions ». On peut effectivement le constater. Nous avons demandé des détails, sans réponse pour l’instant.
Les extensions sont toujours présentes dans le Chrome Web Store
Quant à Google, les quatre extensions sont toujours sur son Chrome Web Store. Wladimir Palant n’est pas surpris : « La seule manière officielle de signaler une extension est le lien "Signaler un abus". Je l’ai déjà utilisé bien sûr, mais l’expérience a montré qu’il n’a jamais aucun effet. Les extensions n’ont été supprimées du Web Store qu’après une couverture médiatique considérable ».
Même si l’historique d’Avast va davantage dans le sens d’une « erreur de bonne foi », on ne saurait jamais être trop prudent dans ce domaine. Les internautes sont plus sensibilisés aujourd’hui aux questions de sécurité et de vie privée (une bonne part de la politique de Mozilla va d’ailleurs en ce sens), et on attend que tous les éditeurs en prennent la mesure. Peut-être finira-t-on par observer un changement global de paradigme dans ce domaine, avec une seule règle, comme un mantra : ne toujours demander que le strict nécessaire d’informations. La notion de « nécessité » semble encore floue pour certains.
Vie privée : les extensions Avast supprimées de Firefox et Opera, un patch en attente
-
Que s’est-il passé ?
-
Des extensions supprimées, mais pas bloquées
-
Avast travaille à corriger le tir
Commentaires (11)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 05/12/2019 à 18h40
Les mecs ne se bougent qu’une fois leur addon débusqué et retiré, et annoncent corriger le tir, mais aucune explication sur le pourquoi initial de la collecte abusive … y’a vraiment de quoi blacklister (au moins dans nos p’tites têtes) ces entreprises
Le 05/12/2019 à 23h20
Entièrement d’accord avec toi, ça en dit long sur le respect de l’utilisateur par ces entreprises. Un truc de plus a blacklister !
Le 06/12/2019 à 09h14
C’est à dire que ça fait un petit bout de temps qu’Avast file un mauvais coton, mais bien avant ça, c’était un excellent antivirus, et l’un des seuls avec une licence perso gratuite qui inclus un système d’analyse temps réel (c’est à dire qui scanne automatiquement les fichiers à leur ouverture, là où la plupart des autres antivirus gratuits se contentaient de vérifier les fichiers lors d’un scan du disque dur). Et pour couronner le tout, leur système de détection des virus était vraiment bon, ils avaient vraiment une réputation tip-top. Ça a changé du jour au lendemain, quand ils ont commencé à intégrer des comparateurs de prix automatiquement dans Firefox. J’ai assez vite changé de crèmerie, et ça tombait bien : Microsoft avait sorti Security Essentials, qui était plus léger, et qui était le premier antivirus de Microsoft à être reconnu comme excellent. C’est peut être d’ailleurs un des éléments qui a poussé Avast à se lancer dans la comparaison de prix, histoire de se démarquer de la concurrence, mais les moyens mis en place ont plus fait fuir les clients qu’autre chose.
Ce que je veux dire par là, c’est qu’Avast et AVG, qui a aussi eu sa période de gloire, ont encore une certaine image de marque grâce à cette période où ils avaient une excellente notoriété. Je pense que c’est pour cette raison que Vincent parle d’une potentielle « erreur de bonne foi », même si on sent bien dans le dernier paragraphe que s’ils continuent sur cette voie, ils ne vont pas faire long feu. En tous cas, ils sont plutôt grillés chez les geeks, maintenant.
Le 06/12/2019 à 09h21
Quand je pense qu’il y a encore des utilisateurs d’Avast sur les PC alors que Windows Defender protège totalement le PC gratuitement et sans pub !! " />
Le 06/12/2019 à 09h32
Niveau image de marque, on est d’accord qu’on parle du grand publique uniquement ?!
Le 06/12/2019 à 10h16
Il faut mettre les choses dans leur contexte, et ke parle d’une époque qui remonte à une quinzaine d’années, mais Avast était un antivirus très popluaire, même chez les geeks. Il n’avait aucune des saloperies qui sont apparues au début des années 2010, était gratuit et était excellent pour la détection des virus (certes pas forcément le meilleur, mais pas loin, néanmoins assez bon pour que ça ne vaille pas le coup de se faire chier à utiliser un antivirus payant sans le payer). Y’avait pas besoin de réfléchir : en 2005, si tu voulais un bon antivirus gratuit avec une protection en temps réel, ben tu prenais Avast. Leur politique consistait à distribuer des licences personnelles gratuites pour pouvoir percer dans le marché commercial, où la licence était payante - comme les gens allaient potentiellement utiliser Avast à la maison, ça pouvait influencer leur choix en entreprise.
De toute évidence, ça n’a pas super bien marché (les preneurs de décisions dans les services informatiques sont souvent pas au fait, et puis ils ont entendu dire que Norton était le meilleur antivirus du monde depuis 1995, donc c’est Norton qu’on utilisera et puis c’est tout, parce que je l’ai décidé - même si ça fait plusieurs années que ça ne s’appelle plus Norton mais Symantec), et avec Microsoft Security Essentials puis son intégration dans Windows Defender, qui est utilisable gratuitement en entreprise (enfin, c’est en principe inclus dans le prix de la licence Windows, je suppose), ils ont dû changer de fusil d’épaule en le transformant en bloatware / adware, ce qui donne l’immondice qu’on a aujourd’hui.
Mais tout ça pour dire que, oui, il y avait pas mal geeks et de professionnels de l’informatique auprès de qui Avast et AVG avaient une très bonne réputation et qui l’utilisaient à la maison. Maus c’est clairement plus le cas aujourd’hui.
Le 06/12/2019 à 10h38
Je ne pensais pas que tu remontais si loin dans le temps. Mais même 5-6 ans en arrière, c’était adapté aux TPE/PME peut être, mais pas aux grande entreprises.
C’est pour cela que je te demandais bien si tu parlais du grand publique. Personnellement, je n’ai jamais eu de Norton (ou Symantec) non plus. Mais je trouve que ta vision d’une DSI est un peu étroite. Je ne sais pas sur quelle expérience tu te bases, mais celles dont j’ai fait parti ou que je connais ne prennent pas des décisions sur des “j’ai entendu dire que”.
Le 06/12/2019 à 10h50
” DING DING DING LA BASE VIRALE VPS A ÉTÉ MISE A JOUR” " />
Le 06/12/2019 à 10h57
" />
Je me rappelle bien de ca en pleine partie " />
Le 06/12/2019 à 12h33
Ah, je vois ce que tu voulais dire par grand public, et dans ce cas, oui, j’ai jamais bossé pour une boite qui a fait un déploiement d’Avast, en effet. " />
Le vision des DSI que je relate est celle de l’époque, où typiquement, le manager du service compta, c’est un comptable qui est devenu manager, le manager du service juridique, c’est quelqu’un du service qui est devenu manager, mais le manager du service info… c’est juste un manager, qui souvent n’était pas du tout technique (ou pire, le manager croyait qu’il était super calé parce que c’était le roi du WordArt, le caïd du PowerPoint, voire l’empereur du VLOOKUP (ça, c’était le niveau 2), mais rien derrière). On a tendance à sous-estimer à quel point le personnage de Jen dans The IT Crowd était très réaliste pour son époque (à l’exception près qu’elle prend très peu de décisions). Tout simplement parce que les choses ont bien bougé depuis, parce que la mentalité des entreprises a évolué et les services informatique sont devenus des postes de valeur, plutôt que d’être considérés comme de simples postes de dépense. Mais il y a des endroits où il y a encore du boulot à faire.
Le 06/12/2019 à 23h32
Je me demande si c’est pour une raison similaire que Flattr (même maison mère qu’Adblock Plus) n’est pas dans la boutique de Firefox ??
(Pourtant ce n’est pas comme s’ils n’avaient pas été clairs sur les informations qu’ils récoltaient et envoyaient…)