Archive pour la catégorie ‘Firefox’

C’est la fin de Firefox Send (et de Firefox Notes)

Lundi 21 septembre 2020

Le service d’envoi de fichiers volumineux développé par Mozilla était suspendu depuis le mois de juillet, car il aurait servi à véhiculer des fichiers indésirables. La version renforcée de Firefox Send ne verra pas le jour. Le projet est abandonné (et il n’est pas le seul).

Au début de l’été dernier, le site d’actualité américain ZDNet n’a pas ménagé la Fondation Mozilla, la soumettant à une série d’interrogations sur des utilisations détournées et malintentionnées du service d’hébergement de fichiers, lancé l’an dernier sous la marque Firefox Send. Suspendu à la suite de cette interpellation, il n’aura pas survécu à la tempête et vient de s’échouer en pleine restructuration de Mozilla.

Firefox Send utilisé par des hackers

À son insu, Send aurait servi à véhiculer une série de logiciels espions, rançongiciels et autres trojans. Auraient ainsi circulé des noms aussi sordides (vu les conséquences pour les utilisateurs) qu’IN7, REVil (Sodinokibi), Ursnif (Dreambot) ou encore Zloader.

Lancé comme un outil de partage de fichiers lourds sécurisé, Firefox Send accusait quelques lacunes : les fichiers pouvaient être envoyés de manière anonyme, sans contrôle par des logiciels sécuritaires. Aucun moyen n’avait été mis en place pour signaler des utilisations malveillantes. Bref, la monture devait être revue.

Face au problème, la réaction de Mozilla a pourtant été radicale : Firefox Send était suspendu jusqu’à nouvel ordre. La page du projet vient carrément d’être supprimée et renvoie vers la page d’accueil. Rien d’anormal à cela : Firefox Send avait été lancé dans le cadre du programme Firefox Test Pilot et pouvait, à tout moment, être arrêté.

Firefox Notes passe aussi à la trappe

Le plan de licenciement annoncé en janvier dernier a été suivi d’une deuxième vague d’annonces en août.

Ce ne sont pas les seules décisions fortes prises dans le cadre de la restructuration de la Fondation Mozilla. Firefox Notes est lui aussi abandonné. L’application de prise de notes avec synchronisation sécurisée est sera sacrifiée.

Les utilisateurs bénéficient toutefois d’une période de transition : l’extension va continuer de fonctionner jusqu’à nouvel ordre, avec une option permettant d’exporter ses notes et de les héberger auprès d’autres services en ligne. Elle ne sera toutefois plus maintenue par l’équipe de développement de Mozilla.

Source toolinux.com

Firefox se dotera bientôt d’une sécurité contre le « drive-by download »

Samedi 5 septembre 2020

Firefox, le navigateur de Mozilla, se dotera d’une nouvelle fonction de sécurité sur Firefox en octobre. Celle-ci doit protéger ses utilisateurs contre le « drive-by download » et tous les désagréments qui en découlent.

Mozilla vient d’annoncer le lancement d’une nouvelle fonction de sécurité sur Firefox pour octobre. Celle-ci rendra plus difficile pour les pages web malveillantes de lancer des téléchargements automatiques et de placer des fichiers contenant des logiciels malveillants sur l’ordinateur d’un utilisateur. Appelé « drive-by download », ce type d’attaque existe depuis deux décennies et se produit généralement lorsque les utilisateurs visitent un site web qui contient un code malveillant placé là par un attaquant.

Le rôle du code malveillant est d’abuser des fonctionnalités légitimes des navigateurs et des normes web pour lancer un téléchargement automatique de fichiers ou une invite de téléchargement, dans l’espoir de tromper l’utilisateur et de l’amener à exécuter un fichier malveillant. Il existe de multiples formes de téléchargements « drive-by », selon la fonction du navigateur que les attaquants décident d’utiliser.

Les navigateurs tels que Chrome, Firefox et Internet Explorer ont, au fil des ans, progressivement déployé diverses formes de protection contre les téléchargements automatiques, mais une protection à 100 % ne peut pas être totalement réalisée, parce que les fabricants des navigateurs ne peuvent pas bloquer totalement les fonctionnalités web légitimes, et aussi en raison du paysage changeant des cyberattaques, les attaquants trouvant toujours un nouveau trou à percer.

Source : zdnet.com

Le nouveau Firefox pour Android est arrivé (et il fait débat)

Lundi 31 août 2020

Firefox Daylight est là. Lancée le 27 août dernier, la dernière version du navigateur Firefox pour Android adopte une nouvelle interface, qui en déstabilise plus d’un. Voici ce qui change.

Les utilisateurs de la version de développement, Firefox Preview, ne seront pas vraiment dépaysés. Pour les autres, Firefox pour Android adopte sa nouvelle interface depuis quelques jours… et c’est un solide changement qui s’impose à eux.

Ces nouveautés ne sont pas goût de toute le monde. La preuve ? Ces nombreux commentaires postés sur le Play Store : « Je ne trouve plus rien, naviguer dans les onglets est super compliqué » ou encore « cette nouvelle mise à jour est déplorable. Pas du tout pratique« .

Tout changement impose du temps et de la patience, mais la Fondation tient à rassurer ses utilisateurs : tout a été révisé à l’intérieur pour de meilleures performances, une rapidité accrue et des outils de protection à jour.

Firefox for Android « Daylight » : ce qui change

La nouvelle version du navigateur Firefox pour Android introduit une nouvelle interface utilisateur, de nouvelles options de personnalisation et de sécurité et des changements en profondeur dans le code de l’application.

Les nouveautés en résumé :

Passage au moteur GeckoView ;
Possibilité de placer la barre de recherche en haut ou en bas de l’application ;
Protection contre la fraude et le pistage, activée par défaut, avec une reconnaissance de plus de 2.000 traqueurs en ligne ;
Des collections pour les onglets avec la technologie Pocket ;
Le choix du mode sombre ou clair ;
Plusieurs choix de moteur de recherche ;
Incrustation vidéo native ;
Installation de modules d’extension complémentaires (plugins, greffons) depuis l’application ;

La Fondation Mozilla a publié une vidéo en français pour expliquer ces changements : Vidéo

Firefox peut être téléchargé depuis le Play Store de Google ou encore APK Pure pour ceux qui ne disposent pas des services Google sur leur smartphone. Cette version ne se trouve pas sur F-Droid, où vous pourrez tout de même trouver Fennec et Klar.

Firefox pour Android (Google Play Store)
FAQ et assistance

Source toolinux.com

Firefox chiffre désormais les requêtes DNS, voici comment l’activer

Dimanche 30 août 2020

Firefox propose désormais le DNS over HTTPS, un protocole qui remplace le DNS classique pour réduire le risque d’interception de vos données personnelles de navigation. La fonctionnalité est dorénavant activée par défaut – Mozilla explique que ce sera à terme le cas dans plus de pays. Il est néanmoins possible d’activer manuellement le DNS over HTTPS dans Firefox si vous souhaitez renforcer la sécurité de vos données.

DNS over HTTPS est un nom vraiment barbare pour décrire finalement quelque chose d’assez simple. Lorsque vous entrez une adresse web dans votre navigateur ou cliquez sur un lien, le nom de domaine et ses sous-domaines sont transformés en une adresse IP par le serveur DNS. Ce dernier peut être celui de votre fournisseur d’accès internet ou un fournisseur tiers – que vous avez paramétré sur votre routeur ou sur votre machine. Ainsi, l’adresse http://www.phonandroid.com est transformée en 104.25.191.29 sans que vous ne vous en rendiez compte, une fraction de seconde avant que la page d’accueil de notre site commence à se charger.

Les DNS classiques ne sont pas sécurisés

Cette adresse IP n’est normalement pas visible dans la barre d’adresse – mais vous pouvez tout à fait remplacer si vous le désirez https://www.phonandroid.com/ par https://104.25.191.29/ sans que cela ne fasse la moindre différence dans le chargement de la page. Or, il y a tout de même un problème côté sécurité. Notre site est en HTTPS, ce qui signifie que le trafic qui transite entre nos serveurs et votre machine est en permanence chiffré. Il est donc a priori très difficile pour un acteur malveillant de savoir quelles pages vous visitez sur notre site. Sauf qu’en réalité, ce n’est pas le cas, à cause de vos serveurs DNS.

Dès que vous cliquez sur un lien, la requête est en effet transmise en clair au premier serveur DNS configuré disponible sur votre machine. Ainsi il devient possible pour un pirate d’intercepter ces requêtes et donc connaitre toutes les pages que vous avez visitées sur internet. En activant le protocole DNS over HTTPS Firefox vous permet de chiffrer toutes ces requêtes via HTTPS et donc de rendre toute attaque ou interception presque impossible. Mozilla explique dans un billet de blog : « A la création d’internet, ce genre de menaces envers la vie privée et sécurité des gens était connu, mais n’était pas encore exploité ».

Et Mozilla d’ajouter : « On sait aujourd’hui que les DNS en clair sont non seulement vulnérables à l’espionnage mais sont aussi activement exploités, c’est pourquoi nous aidons internet à passer à des alternatives plus sécurisées ». Le DNS over HTTPS permet selon Mozilla de « d’empêcher des attaquants sur le même réseau de voir votre historique de recherche, d’aider à prévenir la collecte de données par des tiers […] qui lient votre ordinateur aux sites que vous visitez ».

La fonctionnalité est désormais activée par défaut sur le navigateur, mais uniquement aux Etats-Unis. Mozilla explique néanmoins réfléchir à une mesure similaire sur d’autres marchés (dont peut-être la France).

Il est néanmoins possible d’activer dès maintenant le DNS over HTTPS dans Firefox :

Comment activer dès maintenant le DNS over HTTPS dans Firefox

Pour cela :

Ouvrez Firefox (et mettez-le à jour si nécessaire)

Allez dans le menu « hamburger » (≡) en haut à droite

Allez dans Préférences

Descendez tout en bas de la page de l’onglet Général

Dans la section Paramètres réseau cliquez sur Paramètres…

Descendez tout en bas de la page

Cochez la case Activer le DNS over HTTPS

Dans la liste Utiliser le fournisseur, choisissez CloudflareNextDNS, ou un fournisseur personnalisé.

Cliquez sur OK

Source  mozilla

Protection renforcée contre le pistage dans Firefox

Mercredi 19 août 2020

Début août, Mozilla annonçait la version 2.0 de la Protection renforcée contre le pistage (ETP). Elle est intégrée directement à Firefox 79, sur Windows, Linux et macOS.

L’an dernier, la Protection renforcée contre le pistage a été activée par défaut dans Firefox. Depuis lors, Firefox aurait bloqué rien moins que… 3,4 trillions de cookies de suivi. Il fallait s’en douter, le secteur de la publicité a trouvé « d’autres façons de pister les internautes en créant des solutions alternatives et de nouveaux moyens pour collecter les données« .

Le 4 août dernier, Firefox a donc officialisé la version 2.0 de cette technologie baptisée ETP, destinée à offrir une « expérience de navigation sécurisée et privée« . Le déploiement de cette nouvelle version est en cours.

Quoi de neuf dans ETP version 2 ?

Mozilla explique que cette nouvelle version protège les internautes « contre une technique de suivi avancée appelée pistage par redirection, également appelée pistage par rebond« .

« Avec la version 2.0, les utilisateurs et utilisatrices de Firefox seront désormais protégés contre ces méthodes puisque les cookies et les données des sites provenant de ces traqueurs seront vérifiés et supprimés chaque jour. La nouvelle version empêche les traqueurs identifiés d’avoir accès à vos informations, même ceux des sites que vous avez visités par inadvertance. ETP 2.0 supprime les cookies et les données des sites de pistage toutes les 24 heures. »

Blog dédié à la sécurité de Firefox

Source toolinux.com

Firefox 79 : exporter ses mots de passe est possible

Jeudi 30 juillet 2020

Le navigateur Firefox 79 est arrivé sur les serveurs ftp de Mozilla. Il sera déployé dès aujourd’hui via la fonction de mise à jour automatique du navigateur. Voici les nouveautés principales.

Le navigateur Mozilla Firefox 79 est déjà disponible. Il comporte, entre autres, un outil d’exportation de ses mots de passe. Il fallait jusqu’ici utiliser une extension un outil pour réaliser cette opération.

Exporter ses mots de passe depuis Firefox

Pour exporter ses mots de passe depuis Firefox, trois solutions sont possibles :

1. via la barre d’adresse : tapez l’adresse « about:logins » ;
2. via les menus du navigateur : allez dans Préférences, puis dans le menu Vie Privée et Sécurité. Ensuite, dans Identifiants et mots de passe, choisissez l’option Identifiants enregistrés. Sur cette nouvelle page, cliquez sur le menu «  » en haut à droite et choisissez Exporter les identifiants ;
3. Via Firefox Lockwise grâce à une option Export Logins ou Exporter les identifiants.

Bon à savoir : le fichier produit sera un fichier CSV, lisible par n’importe qui. Soyez vigilants : une fois le fichier utilisé, détruisez-le ou placez-le en lieu sûr.

Support de macOS : ce qui change

Dans la liste des changements dévoilée durant le cycle bêta, on apprend que Firefox 79 ne prendra plus en charge d’anciennes versions de macOS (10.9, 10.10 et 10.11). Solution : utiliser Firefox ESR 78.x pour continuer de recevoir des mises à jour de sécurité du navigateur.

Obtenir Firefox 79

Il est possible de télécharger Firefox 79.0 pour macOS, Linux et Windows – si vous utilisez le canal « stable » du navigateur – depuis le serveur ftp de la Fondation Mozilla ou via la fonction de mise à jour automatique de Firefox (si vous utilisez le canal « stable »).

Source toolinux.com

Firefox Relay : alias et bouclier pour protéger son adresse e-mail

Jeudi 23 juillet 2020

Le moins que l’on puisse dire, c’est que la Fondation Mozilla ne cesse d’innover. Après son VPN, voici Firefox Relay, un service visant à préserver la confidentialité de votre adresse e-mail.

Firefox Relay, c’est quoi ?

Firefox Relay génère un alias d’e-mail pour garder sa véritable adresse électronique hors des listes de spam et loin des entreprises douteuses. Le service agit comme une boîte postale pour votre adresse physique.

Lorsqu’un formulaire nécessite votre adresse e-mail, mais que vous préférez ne pas la partager, Firefox Relay vous permet de créer un alias.

Firefox Relay redirige alors les courriels de l’alias vers votre véritable boîte de réception, en maintenir sa véritable adresse e-mail cachée.

Comment s’inscrire

Firefox Relay est actuellement en phase bêta expérimentale et fermée. Le service est gratuit pour l’instant, mais pourrait devenir payant comme le récent VPN lancé par la Fondation (voir notre article du 20 juillet).

Si vous souhaiter tester Firefox Relay, inscrivez-vous et recevez une invitation pour l’essayer grâce à votre compte Firefox.

Que faire si un alias Firefox Relay est compromis ?

Si vous utilisez un alias de messagerie avec Firefox Relay et qu’une fuite de données a lieu, vous pouvez éviter de compromettre la sécurité de votre adresse e-mail. Pour cela, vous pouvez désactiver ou supprimer l’alias. Votre adresse électronique principale est alors protégée.

Site web et liste d’attente (en anglais).

Source toolinux.com

Mozilla va lancer un VPN « dans les prochaines semaines »

Lundi 22 juin 2020

Le VPN de Mozilla sortira de sa version bêta cet été. Et un client pour Mac devrait suivre. Actuellement, l’outil n’est disponible que pour Windows, Android, iOS et l’extension Firefox.

Mozilla vient d’annoncer que son très attendu service VPN (réseau privé virtuel) sera lancé cet été, c’est à dire « dans les prochaines semaines ». Le produit a également été rebaptisé, de « Firefox Private Network » à « Mozilla VPN ».

Ce changement de nom intervient après que Mozilla a développé son produit VPN à partir de l’extension initiale de Firefox vers un VPN complet, capable d’acheminer le trafic pour l’ensemble du système d’exploitation, y compris les autres navigateurs. Actuellement, le VPN de Mozilla propose des clients pour les appareils sous Windows 10, Android, iOS et des Chromebook.

Mozilla a déclaré que les bêta-testeurs ont également demandé un client Mac, qui est dans les tuyaux, ainsi qu’une application pour Linux.

Mozilla VPN – Client Windows 10

Mozilla VPN – Extension pour le navigateur Firefox

Lorsque le VPN de Mozilla sortira de sa phase bêta, le service sera dans un premier temps accessible aux utilisateurs américains uniquement. Néanmoins, Mozilla prévoit de lancer son VPN dans d’autres régions d’ici la fin de l’année. En ce qui concerne les frais mensuels, le fabricant du navigateur a déclaré qu’il « continuera à offrir le VPN Mozilla au prix actuel pour une durée limitée, ce qui vous permet de protéger jusqu’à cinq appareils sur Windows, Android et iOS à 4,99 $/mois ».

Utilisateurs de plus de 200 sur la liste d’attente

La toute première version du VPN de Mozilla a été lancé l’année dernière, en septembre. La version bêta n’était disponible que pour les résidents américains, mais Mozilla a indiqué que des utilisateurs de plus de 200 pays s’étaient inscrits sur sa liste d’attente. Sous le capot, Mozilla a déclaré que son VPN fonctionne en routant le trafic web à travers un réseau de proxies de confiance. L’extension du navigateur VPN utilise des serveurs Cloudflare, tandis que le VPN complet utilise des serveurs Mullvad et le protocole VPN open source WireGuard – ajouté au début de l’année au noyau Linux.

Depuis le lancement du service en bêta l’année dernière, Mozilla a dû faire face à une foule de questions sur la façon dont le service fonctionnera. Le fabricant du navigateur a mis en place une FAQ détaillée et des pages d’assistance pour l’extension du navigateur et le produit VPN complet où les utilisateurs peuvent obtenir des réponses.

Source : zdnet.com

Firefox 76 : Firefox Lockwise protège mieux vos mots de passe

Samedi 9 mai 2020

La nouvelle version de Firefox propose de nouvelles fonctionnalités à son gestionnaire de mots de passe, pour une navigation plus sécurisée.

Mozilla a publié aujourd’hui Firefox 76 sur le canal Stable desktop pour Windows, MacOS et Linux. Cette nouvelle version est accompagnée de corrections de bugs, de patchs de sécurité et de nouvelles fonctionnalités.

Mais le point fort de cette nouvelle version, c’est surtout une suite de nouvelles fonctionnalités ajoutées au gestionnaire de mots de passe intégré de Firefox (Firefox Lockwise). Il est disponible sur about:logins, ou dans Paramètres > « Votre e-mail » > Identifiants et mots de passe. A partir de Firefox 76, les utilisateurs devront saisir les identifiants de leur compte MacOS ou Windows pour afficher quelque mot de passe en clair.

Mozilla a ajouté cette fonctionnalité à la demande de la communauté Firefox. Les utilisateurs se plaignaient en effet qu’il était simple pour un cyberattaquant d’attendre que l’utilisateur s’éloigne de son ordinateur pour accéder rapidement au gestionnaire de mots de passe intégré à Firefox, puis révéler et copier les mots de passe de l’utilisateur sur un morceau de papier.

Grâce à cette nouvelle fonctionnalité, il lui faudra également connaître les identifiants du système d’exploitation de l’utilisateur, ce qui réduit les chances de réussite d’une telle intrusion (connue sous le nom de scénario de « evil maid »).

Protection accrue des mots de passe

Mais ce n’est pas la seule fonctionnalité ajoutée à Firefox Lockwise dans la version 76. Le gestionnaire de mots de passe intégré à Firefox analyse désormais également tous les mots de passe stockés par l’utilisateur.

Mozilla indique que si l’un des mots de passe de l’utilisateur est identique à un mot de passe qui a été divulgué en ligne, Firefox affichera un avertissement à l’utilisateur, lui recommandant de changer le mot de passe, indiquant que ce dernier fait maintenant très probablement partie des listes du dictionnaire des mots de passe que les pirates utilisent pour des attaques par force brute.

Firefox Monitor

En outre, Lockwise a également bénéficié d’une troisième amélioration de la sécurité : l’intégration à Firefox Monitor, un service de Firefox qui permet aux utilisateurs de vérifier si leurs informations d’identification ont été divulguées en ligne.

A partir de Firefox 76, les utilisateurs recevront des alertes de Lockwise pour les sites qui ont connu une violation récente de la sécurité, et où l’on sait que les mots de passe ont été compromis, pour inviter les utilisateurs à modifier leurs informations d’identification.

Mozilla rassure les utilisateurs : Firefox ne connaît pas réellement leurs mots de passe, le navigateur fonctionne avec des versions cryptées des identifiants pour garder la vie privée des utilisateurs intacte.

Autres nouveautés

Voici donc les principales nouveautés de Firefox 76. Mais cette nouvelle version présente d’autres nouvelles options et d’importantes corrections de bugs, qui sont détaillés dans le journal officiel des modifications.

Les patchs de sécurité pour Firefox 76 seront listés sur cette page, dans les jours qui suivent, au fur et à mesure que les utilisateurs se mettront à jour avec la nouvelle version.

Les changements spécifiques aux développeurs web sont détaillés sur cette page.

Les utilisateurs de Firefox peuvent mettre à jour FIrefox vers la version 76 en utilisant l’outil de mise à jour intégré au navigateur, disponible dans Paramètres > Aide > A propos de Firefox.

Source : zdnet.com

Firefox va proposer un alias de messagerie pour plus de confidentialité

Samedi 9 mai 2020

Firefox Private Relay permettra aux utilisateurs d’utiliser un alias de messagerie afin de dissimuler leur véritable adresse électronique lors du remplissage de formulaires.

Mozilla travaille sur un nouveau service appelé « Private Relay » qui génère des alias uniques pour cacher l’adresse électronique d’un utilisateur aux annonceurs et aux opérateurs de spam lorsqu’il remplit des formulaires en ligne. ZDNet a appris que le service était entré en phase de test le mois dernier et qu’il est actuellement en bêta fermée, une bêta publique étant prévue pour la fin de l’année.

Private Relay sera disponible en tant que module complémentaire de Firefox. Il permettra aux utilisateurs de générer une adresse électronique unique – un alias de courriel – en un seul clic. L’utilisateur pourra ensuite saisir cette adresse électronique dans des formulaires web pour envoyer des demandes de contact, s’inscrire à des bulletins d’information et créer de nouveaux comptes.

« Nous ferons suivre les e-mails de l’alias vers votre vraie boîte de réception », déclare Mozilla sur le site web Firefox Private Relay. « Si un alias commence à recevoir des e-mails dont vous ne voulez pas, vous pouvez le désactiver ou le supprimer complètement », explique le fabricant du navigateur.

Un concept ancien rendu accessible

Le concept d’alias de courrier électronique existe depuis des décennies, mais leur gestion a toujours été une corvée. Parfois même, les fournisseurs de messagerie électronique ne permettaient pas aux utilisateurs d’accéder à une telle fonctionnalité.

Grâce à Firefox Private Relay, Mozilla espère fournir une solution facile à utiliser qui permet aux utilisateurs de créer et de détruire des alias de courriel en quelques clics.

Mozilla devient ainsi le deuxième grand géant technologique à travailler sur un alias de courriel et un service de relais privé. Apple a annoncé l’année dernière, lors de la conférence des développeurs WWDC 2019, une fonction similaire d’alias de messagerie électronique pour son prochain système de connexion « Connectez-vous avec Apple« .

Source : zdnet.com