lundi 14 septembre 2009

Firefox, plugins, et sécurité..

Firefox plugin Flash PlayerMozilla a publié la semaine dernière une nouvelle mise à jour Firefox 3.5.3, mise à jour de sécurité corrigeant son lot habituel de bugs et vulnérabilités. Rien que de bien classique, Mozilla nous ayant habitué à un rythme de mises à jour quasi mensuelles pour son navigateur. Sauf que cette fois Firefox 3.5.3 embarque une nouvelle fonction : la vérification de la version du plugin Flash Player. Nouveauté à priori d'autant plus intéressante que le flash est de plus en plus présent sur le Web, et que peu d'utilisateurs pensent à mettre régulièrement à jour Flash Player, les vulnérabilités et failles critiques dans ce dernier étant nombreuses et fréquentes.

Donc au premier écran d'accueil après installation de la mise à jour, Firefox 3.5.3 vérifie que l'ordinateur est bien équipé de la dernière version de Flash Player, et si ce n'est pas le cas, affiche un écran d'alerte incitant à mettre Flash Player à jour :

Firefox vérification version plugin Flash - Ecran d'alerte
Ma version étant à jour lors de la maj Firefox 3.5.3, j'ai sciemment réinstallé une ancienne version de Flash Player avant de retourner sur la page d'accueil pour faire le test jusqu'au bout, ce qui m'a valu quelques surprises pas vraiment heureuses..

Après avoir sollicité la mise à jour de Flash Player à partir de l'écran de Firefox 3.5.3, on arrive chez Adobe, et là, si on ne fait pas attention, on télécharge la dernière version du plugin, mais aussi McAfee Security Scan, outil de sécurité certes, mais qui, que je sache, n'est pas indispensable au fonctionnement du plugin ni encore moins à celui de Firefox. Ce qui est inacceptable, ce n'est pas cette sollicitation d'installation d'une application tierce (hélas de plus en plus fréquente) mais le fait que cette option de téléchargement additionnel et inutile (voir dangereux pour les risques potentiels de conflit avec l'éventuel antivirus résident) soit cochée par défaut lors d'une manip à vocation sécuritaire ! Il convient donc de décocher cette option avant de lancer le téléchargement du plugin :

Adobe - Installation plugin Flash Player - Application tierce McAfeeAdobe - Installation Flash Player sans McAffe












Après cette manip et avoir donc cliqué sur "Télécharger", deuxième surprise : ce n'est pas le classique "flash_player_install.exe" qui m'est proposé, mais l'installation d'une extension "Adobe DLM".. Gné ? Après le coup de McAfee, je serais plutôt méfiant, mais bon, juste pour voir, j'accepte l'installation, je redémarre Firefox, pour constater que cette extension est en fait juste le gestionnaire de téléchargements d'Adobe (DLM = "DownLoad Manager"), donc pas vraiment indispensable, et en tout cas dépourvue de la seule fonction qui me paraît essentielle dans le contexte : rechercher (et proposer) régulièrement les mises à jour de Flash Player (sans attendre le prochain update de Firefox), comme le fait par exemple Update Notifier pour les extensions. Si vous ne souhaitez pas installer cette extension qui ne servira qu'à vous offrir un bel écran pendant la mise à jour d'Adobe, refusez l'installation et cliquez sur le lien d'installation manuelle, en privilégiant le téléchargement (qui vous permettra de conserver la version en archives après exécution) plutôt que l'installation immédiate :

Adobe Flash Player - Installation manuelle du plugin OK
Alors certes il s'agit de la première implémentation de cette fonction de surveillance des plugins, c'est une démarche qui va théoriquement dans le bon sens au niveau de la sécurité de Firefox et elle sera probablement améliorée dans les prochaines versions de Firefox (et étendue aux autres plugins), mais encore faudra-t-il qu'elle se recentre sur l'essentiel : la sécurité dans la simplicité et la transparence, ce qui, au vu de cette première mouture signée Adobe, n'est pas encore gagné..

20 commentaires:

Harry a dit…

Salut !

Perso, je me contente d'aller toujours sur cette page où Tamil(que je recommande d'ailleurs) met à jour régulièrement le plugin flash pour operaUsb:
http://my.opera.com/Tamil/blog/how-to-install-flash-player
Je la retrouve en tapant sur google: tamil flash opera
NPSWF32.DLL y est disponible sous forme de zip. Il ne reste plus qu'à décompresser le fichier dans le dossier plugin de son navigateur (à l'exception de IE).
J'espère pouvoir faciliter la vie de certains d'entre nous.
cordialement,
Harry.

Gabuzo38 a dit…

Salut Harry !

Oui, je connais cette manip, mais c'est de la bidouille, et même si elle peut effectivement s'avérer pratique, c'est amha pour une minorité..

Pour l'utilisateur courant il faut une procédure simple, automatisée et sécurisée. Est-ce si compliqué de concevoir un module intégré à Firefox qui relève sur le site d'Adobe la dernière version du lecteur Flash, vérifie la version installée sur l'ordi hôte, et met à jour (ou, pour le moins, propose la maj) si besoin ? Encore une fois, Update Notifier le fait très bien et très simplement pour les extensions, je ne vois pas pourquoi Firefox ne le ferait pas aussi simplement avec Adobe (sauf incidences commerciales, genre applications tierces..)

Harry a dit…

Il me semble qu'il existe une extension XPI pour flash non ?
Mais j'avoue que dans le fond, tu as tou-à-fait raison. Une mise en garde du genre de celle de nos droit lors de la première utilisation de firefox serait très appréciée pour la mise-à-jour d'un plugin flash obsolète. Quant aux toolbars fournies avec n'importe quel logiciel, c'est vil et malfaisant mais peut-on les blâmer ? Je pense qu'il faut éduquer les Madame Michu à rester prudent et attentif à leur utilisation d'un ordinateur.

Gabuzo38 a dit…

A ma connaissance, il n'existe pas d'extension gérant les mises à jour de Flash Player. Par contre, ne surtout pas installer l'extension Adobe Flash Player 0.2 [en], qui est un spyware notoire (ce qui, en l'espèce, montre bien la nécessité d'intégrer nativement dans Firefox le code de vérification et de mise à jour des plugins, sans avoir à transiter par un module externe).
Quant à l'information (voire la formation) de l'utilisateur, je suis bien d'accord !

Harry a dit…

http://tinyurl.com/p6h7vp

Certes, il ne marche pas [raison : Script d'installation non trouvé -204] mais je refuse d'avoir tort sur ce coup là ! :D

Plus sérieusement, je me demande comme toi pourquoi il n'existe pas d'extension qui vérifie dans about:plugins la version de NPSWF32.DLL...
Ça n'a pas l'air sorcier pourtant !

RAV: Pourquoi n'entend-t-on pas ta voix plus souvent sur ton blog ?

Gabuzo38 a dit…

Non, tu n'as pas tort, sauf que cette extension installe simplement le Flash Player, mais ne gère pas les updates ;-)

Sinon pour le RAV, circulez.. :-D
Nan, je plaisante, en fait la raison principale réside dans le fait que le textuel permet l'intégration d'images, et j'en utilise souvent dans mes billets. De plus, au niveau des moteurs de recherche, l'indexation du contenu des fichiers multimédia est encore incertaine, donc en terme de référencement, l'audio et la vidéo ne sont pas très porteurs.

Harry a dit…

ahahahahaah !
Ce que j'entendais par "ta voix" c'est que tu ne post que rarement (en même temps tu fais ce que tu veux :D), en général à chaque nouvelle version ou update de FF ou TB !

Florent a dit…

Bonjour, merci pour les explications mais j'ai vu ton article trop tard car j'ai dejà fait la mise a jour de firefox et du flash player et il m'a mis le adode dlm. Je peux le viré ?

Gabuzo38 a dit…

Bonjour Florent

En principe, l'extension Adobe DLM "s'auto-désinstalle" après la mise à jour du plugin et au prochain démarrage de Windows, mais je n'ai pas pu le vérifier, je l'ai désinstallée classiquement en cours de session, tout de suite après la remise à jour de Flash.

Florent a dit…

oki merci je viens de la viré. A+

Michèle a dit…

Bonjour Gabuzo, j'essaye de te suivre et suis allée voir dans mes programme, et la liste de "trucs" Adobe est assez longue. Peux-tu me dire ce qui est indispensable et ce que je pourrais "virer":
Adobe Flash Player 9 ActiveX
Adobe Flash Player ActiveX
Adob Flash Player 10 Plugin
Adobe Shockwave Player
Je ne touche à rien avant l'avis du Maître!
Merci d'avance.

Gabuzo38 a dit…

Hello Michèle :)

Qu'entends-tu par "mes programmes" ? Le répertoire "Program Files" ? Le menu "Démarrer" ? "Ajout/Suppression de programmes" ?

Si tu n'as eu de message de Firefox lors du passage à Firefox 3.5.3, c'est que ta version du Flash Player est à jour.
Pour Shockwave, tape "about:plugins" (sans les guillemets) dans la barre d'adresse de Firefox (ou va dans l'onglet "Plugins" des Modules complémentaires via le menu "Outils") et vérifie que tu as bien la version 11 du Shockwave for Director.

Mais tu sais, tout ça n'a rien de docte, c'est juste un peu d'expérience, partagée avec plaisir !

Michèle a dit…

J'aurais dû être plus précise, tu as raison, c'était "panneau de config" puis "désinstaller programme" pour voir ce qui était installé.
Je viens de faire "about:plugings" et vois : "Shockwave Flash 10.0 r32"
Donc ce n'est pas la bonne version. J'avais bien eu le message de FF et avait vu "l'arnaque" avec McAfee Security Scan donc je n'avais pas accepté, mais je ne sais plus pour la suite... Bref,l'apprentie va attendre les conseils du Probuzo.

Gabuzo38 a dit…

Si, pour Shockwave Flash, 10.0r32 est bien la dernière et bonne version du Player Flash (NPSWF32.dll). C'est pour Shockwave Director (une ou deux lignes en dessous) que la bonne version est la 11(np32dsw.dll). Oui, je sais, tout ça c'est un peu compliqué, surtout un lundi matin :D
Sinon, dans ta liste, hormis "Adobe Flash Player 9 ActiveX" qui semble faire double emploi, je ne vois rien d'anormal. Mais il me semble aussi que tu es sous Vista et s'agissant d'un ActiveX, il est peut-être nécessaire à IE.. là je ne pratique pas, donc je ne dis rien !

Philippe a dit…

Comme je suis sur Apple, mais j'ai tout de même vérifié, c'est ok pour moi,en tout cas, je t'ai mis dans mes flux, merci pour ce billet intéressant

Michèle a dit…

Ah, bon, comme tu dis, le lundi matin il faut y aller doucement, donc j'ai revérifié, et je ne suis pas à jour :
Shockwave for Director
Nom de fichier : np32dsw.dll
Adobe Shockwave for Director Netscape plug-in, version 10.3
J'ai regardé sur Google et je ne sais pas quel lien prendre pour la mise à jour..
Merci si tu as encore 2 minutes.

Gabuzo38 a dit…

@ Philippe : merci de ta visite. Et j'ai bien aimé ton blog (et tes charmants lapins :-D )

@ Michèle : => Adobe Shockwave Player.
Mais fais attention pendant l'install, cette fois , c'est Norton Security Scan qu'Adobe te proposera en prime ! A décocher bien évidemment !!

Michèle a dit…

Hop, chargé le bon et décoché le méchant, tout roule, merci encore.

Anonyme a dit…

Bonjour Gabuzo,
Enfin,grâce à ton billet on ne peut plus clair,j'ai réussi à mettre à jour Flash Player sans installer leur "DLM".
Ca faisait un moment que je cherchais la solution expliquée de façon compréhensible pour moi...
Un chaleureux merci à toi de la part d'une mamie !

PS Je note soigneusement l'adresse de ton site et je le ferai connaître.

Gabuzo38 a dit…

Bonjour Mamie Anonyme :-)

Merci à toi pour le retour, et ravi d'avoir pu t'être utile !
Si tu as besoin d'un plugin quelconque, ou de mettre à jour l'un de tes plugins, Mozilla à mis à disposition un page spéciale les regroupant :
=> Plugins pour Firefox

Mets cette adresse en marque-pages, tu pourras ainsi y accéder directement en cas de besoin ;)

Bonne journée et @+