L’écosystème des modules complémentaires est une fonctionnalité importante de Firefox. Ils permettent d’avoir un navigateur à la carte et de rendre votre vie en ligne plus riche. Nous savons à quel point c’est important, c’est pour cela que ces dernières années nous avons investi beaucoup de temps à rendre cette fonctionnalité plus sûre. Mais, comme les modules complémentaires permettent de faire presque tout et n’importe quoi, nous avons travaillé dur pour développer et mettre en place des systèmes qui vous protègent de modules malveillants. Le souci discuté ici vient d’une erreur de mise en œuvre d’un tel système ayant pour conséquence l’inactivation de tous les modules déjà installés. Bien que nous pensions que les fondations de notre système sont saines, nous travaillerons à perfectionner ces systèmes afin d’éviter que des problèmes semblables se reproduisent.
Afin de s’attaquer à ce problème aussi vite que possible, nous avons utilisé notre système d’Études (Studies) pour déployer le correctif initial, cela nécessitait des utilisateurs et utilisatrices qu’ils aient choisi d’activer la télémétrie. Certains utilisateurs et certaines utilisatrices qui avaient refusé la télémétrie sont revenus sur leur choix pour obtenir le correctif initial dès que possible. Comme nous l’avons annoncé dans le blog des modules complémentaires de Firefox le 9 mai à 1 h 28 CEST (2019-05-08T23:28:00Z), il n’est plus nécessaire d’avoir les études activées pour recevoir les mises à jour. Veuillez vérifier que vos paramètres correspondent à vos préférences personnelles avant que nous réactivions les Études, cette réactivation aura lieu après le 13 mai à 18 h 00 CEST (2019-05-13T16:00:00Z). Afin de respecter autant que possible les intentions probables de nos utilisateurs et utilisatrices, nous poursuivrons la trajectoire actuelle et supprimerons toutes les données de télémétrie et d’études collectées entre le 4 mai à 13 h 00 et le 11 mai à 13 h 00 CEST (2019-05-04T11:00:00Z et 2019-05-11T11:00:00Z) pour tous nos utilisateurs et utilisatrices.
Notre directeur technique, Eric Rescorla, explique l’aspect technique de ce qui s’est passé dans ce billet.
Nous aimerions remercier aussi les personnes qui ont travaillé dur pour s’attaquer à ce problème, y compris les centaines de membres de la communauté et d’employés qui ont localisé le contenu et répondu aux questions sur https://support.mozilla.org/, Twitter et Reddit.
Nous partagerons plus de détails via une prochaine analyse rétrospective publique plus approfondie, y compris des détails sur la façon dont nous avons corrigé ce problème et pourquoi nous avons choisi cette approche. Nous devons vous rendre des comptes précis, mais nous ne voulions pas attendre que ce processus soit terminé pour vous dire ce que nous savions déjà. Nous vous avons laissé tomber et ce qui s’est passé a pu ébranler votre confiance en nous, mais nous espérons que vous nous donnerez une chance de la regagner. ■
La communauté Mozilla francophone s’est mobilisée pour traduire le billet de Mozilla et ses mises à jour au fur et à mesure des informations, et l’article de SUMO mis à jour aussi au cours du week-end. Elle vous a aussi répondu sur nos forums d’entraide communautaire et sur nos réseaux sociaux – Mastodon, Facebook et @mozilla_fr et @firefox_fr sur Twitter – médias grâce auxquels nous vous avons communiqué les nouvelles à mesure qu’elles tombaient. Merci à tous et à toutes !
En attendant cette prochaine analyse, si vous souhaitez approfondir l’aspect technique des évènements, vous pouvez lire la traduction du billet d’Eric Rescorla sur notre bog technique.
Traduction et relecture : Mozinet, Usul, Julien “Sphinx” et anonymes
Précédent article sur ce thème : Modules complémentaires désactivés ou échouant à s’installer dans Firefox
Comme vous le savez, le 3 mai 2019, un problème important de Firefox qui nous a privé⋅e⋅s des modules complémentaires (extensions et thèmes) a commencé. Bien évidemment, Mozilla a fait de son mieux dans l’urgence pour y remédier. Voici la traduction du billet de Kev Needham paru sur le blog de Mozilla…
Cette traduction comme la version originale sont disponibles sous les termes de la licence CC By-SA 3.0.
1 De bdv89 -
Je vous dit : wow ! Et merci, vraiment. Ne serai-ce que pour la démarche. Ce ne sont pas ce genre d’évènements (tous les systèmes sont faillibles) qui remettent en cause le service superbe que vous offrez aux internautes. Si j’ai du passer par chrome durant une journée, cela n’a été que pour mieux revenir vers vous le lendemain, une fois la situation réglée. Continuez les mecs. Les no-lifes vous aiment.
2 De Utilisateur56.0.2 -
Bonjour à tous,
Dans la mise à jour du 8 mai 19 h 28 EDT de l’article de “Goofy”, paru le 4 mai, il est écrit : “Pour les utilisateurs et utilisatrices qui ne peuvent pas mettre à jour vers la dernière version de Firefox ou de Firefox ESR, nous prévoyons de distribuer une mise à jour qui appliquera le correctif automatiquement aux versions 52 jusqu’à 60. Le correctif sera aussi disponible sous la forme d’une extension installable par l’utilisateur ou l’utilisatrice.”
Dans l’article de “Sphinx” nommé “Détails techniques sur la panne des modules complémentaires de Firefox” du 10 mai, au chapitre “Les Dernières étapes”, il est précisé que pour :
“-Les utilisateurs de très anciennes versions de Firefox que ne peut pas atteindre le système d’étude.
Nous ne pouvons pas vraiment agir et ces utilisateurs devraient mettre à jour leur version de Firefox, car les anciennes versions sont sujettes à des vulnérabilités de sécurités non-corrigées graves. Nous sommes conscients des personnes ayant conservé une ancienne version de Firefox afin de pouvoir exécuter d’anciens modules mais, de toute façon, ceux-ci ne fonctionneront pas avec les nouvelles versions de Firefox.”
Il y a donc une différence entre ce qui était annoncé lors des mises à jour de l’article du 04/05 allant vers le déploiement d’un correctif pour les versions allant de 52 à 60 et l’explication dans l’article du 10/05 pour les utilisateurs d’une version antérieure à la 57 quand au règlement de cette histoire de certificat arrivé à expiration.
Ma question est donc :
Est-ce une erreur de traduction ou est-ce qu’il est finalement dit aux Utilisateurs de versions antérieures à la 57 Quantum que finalement rien ne sera réglé et que nous devrons passer à cette version?
Si c’est la 2em option qui est la bonne, Mozilla est tranquillement entrain de faire migrer tout le monde sur Quantum et une manière déguisée de dire à une grande partie de ces utilisateurs, dont je fais partie, “nous profitons de ce truc pour vous obliger à aller dans le sens que nous avons décidé avec la Quantum ou allez vous faire voir chez les grecs ?”
3 De AliJ -
Voir youtube sans ublockOrigin est une experience que je souhaite a personne.. J’ai failli installer Opera la.. Merci pour la transparence
4 De Question -
Belle explication, bravo, wow, quelle transparence, quelle honnêteté, super, wow. A part ça, je ne trouve pas du tout rassurant que Mozilla ait contrôle sur mon outil, sans mon consentement. La fumeuse sécurité a bon dos. Mozilla va t-il enfin réactiver les extensions de Firefox antérieur à quantum ??
5 De Nom -
C’est une erreur de conception, pas seulement un bug. La réaction souhaitable à l’expiration d’un certificat n’est pas la désactivation de toutes les extensions, c’est l’affichage d’un message d’avertissement. De même qu’on ne vous empêche pas de consulter un site web au certif invalide.
6 De Mozinet -
Merci bdv89 et AliJ
7 De Mozinet -
@Question
Code is law. Tous les logiciels font des choses sans votre consentement spécifique, sauf que nous le faisons en toute transparence.
8 De Mozinet -
Pour les versions pré-Quantum, nous ferons comme tout au long de cette crise : nous vous donnerons l’information dès que nous l’aurons. Suivez ce blog et/ou l’actu de Mozilla sur le compte Twitter @MozillaZineFr ou notre compte Mastodon.
9 De Mozinet -
@Utilisateur56.0.2,
10 De Utilisateur56.0.2 -
@Mozinet,
merci de ta réponse, toutefois, je pense que mon questionnement est légitime vu les 2 versions données dans les 2 articles.
Je pense comprendre que tu confirmes qu’il y aura bien un correctif pour les versions <à la 60, contrairement à ce qu’il semble être indiqué dans le billet du 10 mai, et que c’est “exceptionnel” car Mozilla ne maintient plus les anciennes versions.
J’ai envie de dire YOUPI, mais en y réfléchissant bien, je trouve ça juste normal que ce correctif soit en cours pour les anciennes versions…
Nous les utilisateurs de versions < à la 60 avons fait notre choix en conscience d’utiliser une version considérée comme vulnérable et comme le dit “Nom” dans le commentaire N° 5 ci-dessus :
“C’est une erreur de conception, pas seulement un bug. La réaction souhaitable à l’expiration d’un certificat n’est pas la désactivation de toutes les extensions, c’est l’affichage d’un message d’avertissement. De même qu’on ne vous empêche pas de consulter un site web au certif invalide.”
Pour conclure, je ne parle à aucun moment de complot ni n’émet de telle supposition. Je dis juste, peut-être maladroitement, que je trouverai fort de café qu’au final la fondation “profite” de ce gros loupé pour faire basculer les utilisateurs de la catégorie qui me concerne vers la Quantum ou de nous considérer comme étant la simple écume des partis suite à leur énÔrme bourde considérant ce certificat.
11 De fanofkfn -
Merci pour les informations. Mais vous semblez croire que tout est redevenu normal, ce qui n’est pas le cas. Depuis cet incident, nous sommes plusieurs à ne plus pouvoir utiliser Dashlane sur Firefox. Je suis donc maintenant sous Chrome (à mon grand regret) qui, lui, supporte bien Dashlane. Avez-vous prévu de rendre ce module à nouveau opérationnel ? Personnellement, je ne saurais pas m’en passer. Cordialement
12 De Mozinet -
Non, je confirme que le travail et les tests sont en cours, mais que la décision définitive de porter le correctif vers ces versions de Firefox d’une façon ou d’une autre n’est pas prise.
Ce n’est pas du tout normal d’apporter une mise à jour à une version qui n’est plus maintenue. Ce n’est même pas pour un risque de sécurité majeur comme ça s’est déjà rarement vu dans l’industrie du logiciel de patcher une version qui n’est plus maintenue.
… et plus maintenue.
Lisez notre traduction du blog de Mozilla Hacks pour comprendre ce qu’est vraiment le problème avec le certificat. Il s’agit de l’intégrité du logiciel. Firefox ne reconnaît plus une de ses parties comme celle qui a été installée.
Vous prenez les choses à l’envers. Il est dans l’ordre des choses qu’une version d’un logiciel qui n’est plus maintenue se mette à ne plus fonctionner avec l’évolution des choses et que la seule réponse de l’éditeur soit de passer à une version encore maintenue. Quel exemple pouvez-vous me donner du contraire ?
Mozilla se soucie au-delà de SES utilisateurs et utilisatrices (c-à-d ceux qui utilisent des versions officielles). Dans le logiciel libre en général et chez Mozilla en particulier, on considère que les utilisateurs et utilisatrices qui ont choisi ces logiciels bien particuliers font partie de la communauté, et donc font l’objet d’une considération elle aussi bien particulière. Ça fait partie de notre éthique. Ce qui ne veut pas dire que nous corrigeons à tout prix des bogues sur des versions non maintenues.
13 De Mozinet -
Bonjour fanofkfn,
Avez-vous essayé de réparer ou réinstaller l’extension Dashlane pour Firefox depuis l’intérieur de Dashlane ? Voir l’aide de Dashlane en français.
14 De Utilisateur56.0.2 -
Bonsoir Mozinet,
J’ai bien lu le billet technique et je l’ai même fait 2 fois mais en tant qu’utilisateur lambda non informaticien et n’étant pas “équipé” pour bien appréhender la complexité du propos et assimiler l’architecture d’un tel système.
Je dois avouer que j’ai bien du mal à dépasser le coté binaire de mon propos qui est en substance :
“Ca marche plus parce que le certif est caduque ? Pourquoi ne injecter une nouvelle date (suffisamment éloignée pour pas être emmerdé avant un bout de temps) dans le bouzin et roule ma poule….” :)
Merci pour la réponse explicative que tu m’as fait.
J’espère et attend, avec impatience, que le travail et les tests soient terminés et que la décision définitive de porter le correctif vers les versions de Firefox < à 60 soit prise….
Je me pose juste une autre question, peut-être as-tu la réponse :
FF doit être truffé de certificats avec des dates d’expiration, est-il prévu d’injecter un rappel aux ingénieurs de la fondation pour préparer leur expiration ? Perso, je pensais que c’était déjà le cas, c’est même pour un béotien comme moi un des trucs de base à partir du moment ou je fait un truc avec une date, je crée une alerte/rappel quelques temps avant la date butoir au cas où… :)
15 De Mozinet -
Modules complémentaires désactivés ou échouant à s’installer dans Firefox
16 De Jac -
Grosse bourde vécue en direct, mais bon je considère que l’erreur est humaine.
Le plus gênant pour moi a été le temps passé à comprendre quel était le problème. C’était pas facile de trouver l’info que ça venait effectivement d’un bug, et non pas de mon ordi, d’une extension pourrie, ou autres. Il est peut être intéressant de rajouter à la réflexion, si il est possible de prévenir les utilisateurs d’un problème éventuel encours, dans le respect des contraintes éthiques habituelles chères à la fondation Mozilla.
17 De Mozinet -
@Jac,
Encore désolé pour les désagréments.
Un post-mortem est en cours et ses conclusions vous seront communiquées.
Vous pouvez déjà lire notre traduction du billet de Mozilla Hacks sur notre blog technique pour des pistes sur ce qui est envisagé pour que cela ne se reproduise plus et pour avoir plus de granularité si un autre problème grave advenait.