Archive pour la catégorie ‘Mozilla’

Mozilla transparent sur la télémétrie

Jeudi 6 février 2020

Les utilisateurs de Firefox peuvent maintenant consulter toutes les données de télémétrie que le navigateur collecte lors de leur navigation.

Il existe désormais une page spéciale dans le navigateur Firefox où les utilisateurs peuvent voir quelles données de télémétrie Mozilla collecte à partir de leur navigateur. Accessible en tapant « about:telemetry » dans la barre d’adresse URL du navigateur, cette nouvelle section a été récemment ajoutée à Firefox.

La page présente des informations très techniques sur les paramètres du navigateur, les modules complémentaires installés, les informations sur le système d’exploitation et le matériel, les détails de la session du navigateur et les processus en cours d’exécution. Il s’agit des informations normales qu’un éditeur de logiciels collecte pour corriger les bugs et suivre les statistiques de sa base d’utilisateurs.

D’après un ingénieur de Firefox interrogé par ZDNet, la page a d’abord été créée pour des raisons internes, afin d’aider les ingénieurs à déboguer les installations de test de Firefox. Finalement, pour des raisons d’image, Mozilla a décidé de la rendre publique, afin de rassurer les utilisateurs sur le type de données que le navigateur collecte.

Un navigateur proche de ses utilisateurs

Cette décision fait écho aux décisions de Mozilla des deux dernières années. La marque a en effet décidé d’augmenter les contrôles de confidentialité de son navigateur, tout en s’ouvrant sur ses pratiques, contrastant fortement avec les pratiques des autres navigateurs.

Bien que Mozilla ait fait des faux pas – le plus notable étant l’incident de l’extension « Mr.Robot » – l’organisation a montré une grande ouverture dans ses relations avec ses utilisateurs. Avant même d’ajouter cette section à Firefox, l’organisation répertoriait déjà sur son site web tous les types de données télémétriques qu’elle recueillait auprès des utilisateurs, et les raisons pour lesquelles elle le faisait.

Mais outre le débogage et la mise en place de nouvelles versions, ces données télémétriques sont également à l’origine du Firefox Public Data Report, un portail web présentant des statistiques d’utilisation de Firefox mises à jour chaque semaine. Si malgré tout vous n’êtes pas à l’aise avec le fait de partager les données les plus élémentaires de votre navigateur, alors vous pouvez désactiver la fonction de télémétrie en allant dans Paramètres > Vie privée et sécurité > Collecte de données par Firefox et utilisation, et en décochant toutes les cases.

Source : zdnet.com

Mozilla:Thunderbird bientôt monétisé, une nouvelle filiale créée.

Samedi 1 février 2020

Le développement du client de messagerie Thunderbird sera transféré à une nouvelle filiale de Mozilla nommée MZLA Technologies Corporation.

La fondation Mozilla a annoncé mercredi qu’elle transférait le client de messagerie Thunderbird à une nouvelle filiale nommée MZLA Technologies Corporation.

Mozilla a déclaré que Thunderbird continuera à rester gratuit et open source, mais qu’en transférant le projet de sa fondation vers une société, ils pourront monétiser le produit et payer pour son développement plus facilement qu’auparavant.

Actuellement, Thunderbird est principalement maintenu en vie grâce à des dons caritatifs provenant de la base d’utilisateurs du produit.

« Le passage à MZLA Technologies Corporation permettra non seulement au projet Thunderbird de gagner en flexibilité et en agilité, mais nous permettra également d’exploiter la possibilité d’offrir à nos utilisateurs des produits et services qui n’étaient pas possibles sous la fondation Mozilla », a déclaré Philipp Kewisch, chef de produit Mozilla.

« Ce changement permettra au projet de collecter des revenus par le biais de partenariats et de dons non caritatifs, qui pourront à leur tour être utilisés pour couvrir les coûts de nouveaux produits et services », ajoute-t-il.

Le navigateur Firefox, principal produit de Mozilla, est également géré de manière similaire, par l’intermédiaire d’une société appelée Mozilla Corporation, une filiale de la fondation Mozilla.

Sauvé in extremis

Le nouveau statut de Thunderbird est radicalement différent. Le client de messagerie avait bien failli mourir en 2012. A l’époque, Mozilla avait annoncé qu’en raison d’un manque de financement, il arrêtait le développement des nouvelles fonctionnalités de Thunderbird, s’engageant à ne fournir que les mises à jour de sécurité à l’avenir.

Les choses s’étaient empirées en décembre 2015 quand la fondation Mozilla avait annoncé qu’elle prévoyait à l’époque de confier le projet à une nouvelle entité. En 2016, Mozilla avait même effectué un audit des nouveaux foyers possibles pour Thunderbird, identifiant la Software Freedom Conservancy (gestionnaire de Git, BusyBox, Samba et Wine) et la Document Foundation (gestionnaire de la suite bureautique LibreOffice) comme points d’atterrissage possibles.

Cependant, le destin de leur client de messagerie préféré a rallié la communauté Thunderbird. Les dons ont inondé Mozilla tout au long de 2016 et 2017, et la fondation a changé d’avis en mai 2017, en se réengageant dans le projet après avoir vu la volonté de la communauté d’apporter un soutien financier au projet.

« En fin de compte, ce déménagement vers MZLA Technologies Corporation permet au projet Thunderbird d’embaucher plus facilement, d’agir plus rapidement et de poursuivre des idées qui n’étaient pas possibles auparavant », a déclaré Philipp Kewisch à propos de la nouvelle entité corporative de Thunderbird.

Le projet a repris son développement actif en 2017, et a reçu de nombreuses nouvelles fonctionnalités, y compris le passage à une nouvelle base de code. La version actuelle de Thunderbird et la v68. Il a également annoncé récemment l’ajout d’une prise en charge intégrée des courriers électroniques cryptés.

Source : ZDNet.com

Firefox 72 disponible aujourd’hui : blocage par défaut des scripts de fingerprinting

Mardi 7 janvier 2020

La nouvelle mouture du navigateur sera disponible aujourd’hui et amènera plusieurs améliorations significatives.

À commencer par le blocage par défaut des scripts de fingerprinting (détecteurs d’empreinte numérique) dans le mode Standard de protection de la vie privée. On notera d’ailleurs que sur le seul exposé des blocages entre les modes Standard et Strict, il n’y a visuellement plus aucune différence.

Firefox 72 bloque également par défaut toutes les demandes d’autorisations pour la position géographiques, les notifications, le micro ou encore la caméra. Ces messages sont stockés dans une icône en forme de phylactère à gauche de l’adresse. Elle n’apparait que si des demandes sont en attente.

Le mode picture-in-picture, déployé avec la version 71 sur Windows, est maintenant disponible sur Linux et macOS. Il permet pour rappel d’extraire une vidéo dans une fenêtre dédiée et toujours au premier plan. Redimensionnable, elle affiche les contrôles basiques de lecture.

Côté développeurs, on y trouve le support de Shadow Parts et Motion Path pour les CSS, des propriétés letter-spacing et word-spacing pour les SVG ou encore de l’opérateur nullish coalescing en JavaScript.

Le site officiel n’est pas encore à jour. Comme toujours, la mise à jour sera rapidement récupérée par le navigateur et s’installera après son redémarrage. Les nouvelles versions de Firefox sortent le plus souvent dans la soirée.

Source nextinpact.com

Firefox vous laissera supprimer le peu de données que le navigateur collecte sur vous

Mardi 7 janvier 2020

Dans une volonté de se mettre en conformité avec le California Consumer Privacy Act (l’équivalent californien du RGPD, entré en vigueur le 1er janvier dernier), Firefox annonce que sa prochaine version accordera un contrôle plus granulaire des données qu’il collecte sur ses utilisateurs.

Prévue pour demain, mardi 7 janvier, cette mise à jour permettra aux utilisateurs de Firefox de supprimer toutes les données télémétriques que le navigateur Internet a pu stocker sur ses serveurs.

Prendre de l’avance sur la loi

Dans un post de blog saluant l’entrée en vigueur du CCPA, Mozilla se félicite d’aller encore plus loin que ses nouvelles obligations législatives. En effet, l’éditeur explique que « Firefox collecte déjà très peu de données », et que la majorité de ces données n’ont pour objet que l’amélioration de la sécurité et des performances du navigateur. C’est ce qu’il appelle la télémétrie.

« La télémétrie ne nous dit pas quels sites vous visitez, ni quelles recherches vous faites ; nous connaissons juste quelques informations générales, comme le nombre d’onglets ouverts en simultané, et la durée des sessions ». Mozilla ajoute que ces données télémétriques ne sont pas collectées lors d’une navigation privée, et qu’il a toujours été facile pour les utilisateurs de désactiver ce partage d’informations.

Source clubic.com

Mozilla oblige ses développeurs d’extension à passer à la double authentification

Mardi 17 décembre 2019

Cette nouvelle règle entrera en vigueur à partir de l’année prochaine, en 2020 et vise à sécuriser l’écosystème d’extensions de Firefox.

Mozilla a annoncé cette semaine que tous les développeurs de modules complémentaires Firefox devront activer une solution d’authentification à deux facteurs (2FA) pour leur compte.

« À partir du début de 2020, les développeurs d’extensions devront activer l’authentification à double facteur sur AMO [addons.mozilla.org, le portail d’extensions de Mozilla] », a déclaré Caitlin Neiman, Community Manager des modules complémentaires de Mozilla.

« Cette mesure est destinée à empêcher les acteurs malveillants de prendre le contrôle des modules complémentaires légitimes et de leurs utilisateurs », a ajouté Neiman.

Lorsque cela se produit, les pirates peuvent utiliser les comptes compromis des développeurs pour envoyer des mises à jour corrompues aux utilisateurs de Firefox au travers des extensions.

Étant donné que les modules complémentaires de Firefox ont une position assez privilégiée dans le navigateur, un attaquant peut utiliser un module complémentaire compromis pour voler des mots de passe, des cookies d’authentification/session, espionner les habitudes de navigation d’un utilisateur ou rediriger les utilisateurs vers des pages de phishing ou des sites de téléchargement de logiciels malveillants.

Ces types d’incidents sont généralement appelés attaques sur la chaîne d’approvisionnement.

Lorsqu’elles se produisent, les utilisateurs finaux n’ont aucun moyen de détecter si une mise à jour complémentaire est malveillante ou non, en particulier lorsqu’une mise à jour corrompue provient du store Mozilla AMO officiel – une source considérée comme sécurisée par tous les utilisateurs de Firefox.

Mieux vaut prévenir que guérir

La décision de Mozilla est la meilleure mesure que le fabricant de navigateurs aurait pu prendre pour éviter de futurs incidents de ce type.

Bien qu’il n’y ait eu aucun cas connu de détournements de compte AMO pour les modules complémentaires de Firefox ces dernières années, de nombreux cas ont été constatés sur Chrome.

Les développeurs d’extensions Chrome sont soumis à un flot constant d’e-mails de phishing via lesquels les pirates tentent d’accéder à leurs comptes Chrome Web Store. ZDNet a documenté une de ces campagnes de phishing de masse contre les développeurs d’extensions Chrome l’année dernière, mais elles se poursuivent encore aujourd’hui.

Ces attaques ciblent principalement les développeurs d’extensions Chrome en raison de la part de marché du navigateur Chrome, actuellement évaluée entre 65 % et 70 %. Firefox, avec seulement 10%, est très probablement une cible moins attrayante pour les groupes criminels. Il est cependant louable de voir Mozilla prendre des mesures préventives.

Source : ZDNet.com

Mozilla exclut quatre extensions Firefox d’Avast et AVG

Vendredi 6 décembre 2019

La Fondation Mozilla dit avoir reçu des informations “crédibles” selon lesquelles ces extensions collecteraient des données personnelles et des historiques de navigation.

Avast Online Security, AVG Online Security, Avast SafePrice et AVG SafePrice. Ces quatre extensions Firefox ont été bannies par Mozilla au motif qu’elles ponctionneraient des données utilisateurs ainsi que des historiques de navigation. La Fondation Mozilla a pris cette décision sur la foi d’un rapport de Wladimir Palant, le créateur de l’extension Adblock Plus. Il a découvert que les extensions incriminées récoltaient bien plus de données qu’il ne leur en fallait pour fonctionner.

La collecte de l’historique de navigation est une pratique prohibée par Mozilla mais aussi Google. Or, Wladimir Palant dit avoir constaté que les deux extensions Avast (avertissent lorsque vous naviguez vers des sites malveillants ou suspects connus) ainsi que les deux extensions AVG (comparateurs de prix, coupons de réduction) sont toujours disponible sur le Chrome Web Store. Selon lui, “Les extensions n’ont été retirées du Chrome Web Store qu’après une couverture médiatique considérable”. D’où sa démarche publique pour attirer l’attention et obtenir le retrait de ces extensions trop intrusives. (Eureka Presse).

Source zdnet.fr

Firefox 70 : focus sur l’inspecteur d’accessibilité de Mozilla

Dimanche 3 novembre 2019

L’Inspecteur d’accessibilité est disponible par défaut depuis le lancement de Firefox 63 et a été continuellement développé. La mise à jour Firefox 70 apporte un grand nombre d’améliorations. Les voici.

La Fondation Mozilla encourage les développeurs à rendre leurs contenus accessibles, quelles que soient les capacités physiques et cognitives d’une personne et la manière dont elle accède à Internet.

Elle a, pour cela, développé un ensemble d’outils et de fonctionnalités sous la bannière « inspecteur de l’accessibilité« . Objectif : permettre aux gestionnaires de sites web et aux développeurs de tester le niveau d’accessibilité de leurs sites internet et de résoudre les problèmes les plus courants.

C’est le travail confié à A11y, une communauté composée d’une centaine de bénévoles manifestant des besoins spécifiques en matière d’accès et de développement pour Internet. A11y désigne également la référence à la communauté d’experts en accessibilité chez Mozilla.

Les nouveautés avec Firefox 70

Avec le lancement de Firefox 70, plusieurs nouvelles fonctionnalités snt désormais disponibles dans les outils de développement Firefox.

Contrôles au clavier : les problèmes de navigation au clavier et d’acuité visuelle créent souvent des difficultés d’accessibilité pour divers types d’utilisateurs et utilisatrices. Firefox intègre désormais un correcteur pour les problèmes courants liés au clavier et à l’acuité, tout en expliquant comment les résoudre.

Contraste : l’inspecteur d’accessibilité permet de vérifier le contraste des couleurs en pleine page. Il examine aussi les trois types de problèmes de contraste des couleurs identifiés par les règles pour l’accessibilité des contenus web 2.1.

Simulateur de déficience de perception des couleurs : Firefox intègre désormais un nouvel outil qui simule sept types de déficiences de perception des couleurs (ou daltonisme). Les personnes développant des sites web peuvent ainsi avoir un aperçu de la manière dont les personnes souffrant d’un handicap visuel verraient la page. De plus, il permet aux développeurs de savoir s’ils ont coloré quelque chose sans offrir d’alternative, et qui ne pourrait pas être perçu par une personne souffrant de daltonisme.

Sélecteur d’accessibilité : les internautes utilisant une souris pourront analyser les éléments d’un site web à l’aide du sélecteur d’accessibilité, un outil qui met en évidence un élément et affiche ses propriétés. Firefox affiche une barre d’information qui montre le nom, la fonction et le rapport de contraste des couleurs de l’élément.

Source : le blog Hacks de Mozilla (en anglais).

Mozilla patche une faille zero-day exploitée sur Firefox

Jeudi 20 juin 2019

Mozilla sort Firefox 67.0.3 pour corriger cette faille. La dernière fois que l’équipe Mozilla a patché une zero-day sur Firefox, c’était en décembre 2016.

L’équipe Mozilla a publié la version 67.0.3 du navigateur Firefox pour répondre à une vulnérabilité critique qui est utilisée pour abuser les utilisateurs de Firefox. « Une vulnérabilité peut survenir lors de la manipulation d’objets JavaScript en raison de problèmes dans Array.pop » ont écrit les ingénieurs de Mozilla dans un avis de sécurité.

« Cela peut permettre un crash exploitable » ont-ils ajouté. « Nous sommes au courant d’attaques ciblées qui abusent de cette faille. »

Samuel Groß, un chercheur en sécurité de Google Project Zero
, et l’équipe de sécurité de Coinbase ont été crédités d’avoir découvert cette faille zero-day sur Firefox — connue comme CVE-2019-11707.

En dehors de la courte description affichée sur le site Mozilla, il n’y a pas d’autres détails concernant cette faille de sécurité ou les attaques en cours. En se basant sur la personne qui a signalé la faille de sécurité, on peut supposer sans risque de se tromper que la faille de sécurité a été exploitée lors d’attaques visant les détenteurs de crypto-monnaies.

Samuel Groß n’a pas répondu à une demande de commentaires de ZDNet visant à obtenir des détails supplémentaires sur les attaques.

Les failles zero-days sur Firefox sont assez rares. La dernière fois que l’équipe Mozilla a patché une zero-day sur Firefox, c’était en décembre 2016, lorsque l’éditeur avait corrigé une faille de sécurité utilisée à l’époque pour exposer et désanonymiser les utilisateurs du navigateur Tor, un navigateur qui permet d’aller sur le web avec une forte confidentialité.

Un autre fabricant de navigateurs, Google, a patché une faille zéro day dans son navigateur en mars de cette année. La faille zero-day était utilisé en combinaison avec une faille zero-day Windows 7 dans le cadre d’une chaîne d’exploitation complexe.

Source zdnet.fr

Fluent est le nouveau système de localisation de Mozilla (et il est open source)

Lundi 22 avril 2019

La Fondation annonce le lancement d’un nouveau système de localisation. Fluent (1.0) vise à rendre la traduction de logiciels et applications plus rapide, facile et naturelle. Voici ce qu’il faut en retenir.

Jusqu’ici, la localisation a été dominée par un paradigme que Mozilla juge obsolète. Les traductions correspondent à la langue source (la plupart du temps, ne nous voilons pas la face, il s’agit de l’anglais). C’est oublier les aspects grammaticaux, culturels et stylistiques qui ne correspondent pas entre les langues. Cela a souvent mené à des compromis et c’est cela que Fluent veut changer.

Firefox est aujourd’hui localisé dans près de 100 langues, un projet d’envergure qui est forcément confronté à des impératifs, des impasses et des défis de traduction. Fluent peut aider à y répondre, mais voit plus loin que le bout du navigateur de Mozilla. Il s’agit de l’extension au plus grand nombre d’un ensemble de bonnes pratiques développées par la Fondation et déjà utilisées pour la localisation du navigateur web Firefox.

Concrètement, avec Fluent, les développeurs pourront écrire du code agnostique de la langue : aux traducteurs de réaliser des localisations plus naturelles (libres et créatives). Les fichiers de localisation peuvent être ouverts et édités dans n’importe quel éditeur ou traitement de texte. Mozilla proposera également un support étendu de Pontoon, le système de traduction open source de Mozilla.

« Avec Fluent, les concepteurs, les développeurs et les traducteurs peuvent créer des interfaces qui sonnent naturelles et regorgent d’informations. Fluent permet d’aider à créer des applications mobiles et de bureau localisées, des sites Web responsives, des services dynamiques pour les réseaux sociaux, et des jeux. » – Mozilla

Site web officiel de Fluent

Source toolinux.com

Mozilla peut gérer vos mots de passe sous Android

Jeudi 28 mars 2019

Après iOS, Firefox Lockbox arrive sur Android : vous pourrez y conserver vos mots de passe de manière sécurisée.

Vos mots de passe sont gérés par Chrome et Google ? La Fondation Mozilla vous offre une alternative. Tout comme Firefox Send, Firefox Lockbox est basé sur une autre expérience réussie du programme Test Pilot. Depuis son lancement sur iOS, Firefox Lockbox a visiblement connu plus de 50 mille téléchargements et a été récemment optimisé pour iPad. Il était logique que Mozilla porte Firefox Lockbox sur Android. C’est fait.

Comme on peut le voir dans cette vidéo, Firefox Lockbox donne accès aux mots de passe déjà stockés dans le navigateur Firefox. Aucune installation supplémentaire n’est nécessaire.

Vidéo

Vous utilisez Firefox sur Android ?

Lockbox fonctionne avec l’auto-remplissage pour faire la transition de l’utilisation du navigateur d’ordinateur à son navigateur mobile, en remplissant automatiquement sur les applications mobiles les mots de passe enregistrés sur ordinateur.

Pour l’heure, Firefox Lockbox est disponible en anglais et doit encore être traduit en français. L’application est disponible sur Google Play.

Source toolinux.com