[Firefox] Modules supprimés ou bloqués – 4 mai 2019

Firefox ESR 60.6.1, 4 mai 2019

[Mise à jour, 5 mai 16h30] Mozilla n’ayant pas renouvelé le certificat pour sa plateforme de modules (Mozilla Add-ons) qui héberge uMatrix, ublock Origin, Canvas Blocker et tant d’autres), votre Firefox a sans doute désactivé les modules que vous aviez installés. C’est une surprise désagréable ce dimanche matin pour moi mais, pour beaucoup d’internautes, elle s’est produite pour nous en Europe, samedi 4 avril en pleine nuit.

Cette panne des modules concerne Firefox 66.0.3 et Firefox ESR 60.6.1 (version actuelle de longue durée de Firefox).

Mise à jour 5 mai 16h30

Je viens de m’apercevoir qu’en lançant un Firefox ESR (sur un autre ordinateur), sans avoir modifié le paramètre xpinstall.signatures.required (voir ci-dessous), ce n’est pas seulement les modules qui ont carrément disparu mais aussi les marque-pages. Donc, faites attention, modifiez d’abord le paramètre indiqué ci-dessous ou faites une copie de votre profil ou du dossier bookmarkbackups avant de lancer Firefox. Pour une surprise, c’en fut une… — mais qui n’a pas de sauvegarde de ses marque-pages ? pas vous autres, j’espère ? ;-)

Firefox ESR 60.6.1

En fait, si vous avez Firefox ESR, il suffisait de réagir très vite en fermant Firefox. Puis modifier (“false”, page about:config) ou, selon votre cas, ajouter un paramètre dans votre user.js :

user_pref("xpinstall.signatures.required", false);

Après cette modification, Firefox ESR vous informe simplement d’un risque mais ne désactive pas vos modules qui sont certainement très sûrs si vous les avez installé uniquement depuis le site officiel des Add-ons de Mozilla.

D’après ce que j’ai lu, Firefox ESR est la seule version de Firefox qui accepte encore ce paramètre. Mais d’après ce que dit Mozilla, ce paramètre existe encore sur d’autres Firefox.

Chez moi, uMatrix, Canvas Blocker, Remove Redirect et Referrer Modifier continuent de fonctionner. En revanche, Cookie AutoDelete est passé à la trappe ; dans ce cas vous êtes sauvé·e·s en passant par (au choix ou les deux) :

  • les « Préférences » de Firefox pour bloquer tous les cookies par défaut et les autoriser pour tel ou tel site
  • uMatrix pour bloquer les cookies par défaut et les autoriser pour tel ou tel site (mes préférences sont déjà faites) et modifier deux paramètres dans le tableau de bord pour supprimer les cookies bloqués et le Local Storage (en temps ordinaire, c’est Cookies Auto Delete qui s’en occupe chez moi).

Si aucun de vos modules ne fonctionne, vous pouvez désactiver JavaScript après avoir bloqué tous les cookies, en mettant ce paramètre à “False”, dans la page about:config :
javascript.enabled

Ce qui vous donnera une « expérience utilisateur », pour parler comme les crétins, très particulière. La quasi-totalité des sites web ne fonctionne correctement que grâce à de multiples scripts Javascript qui peuvent être innocents comme très néfastes, voire dangereux. Certains sites web ne s’affiche tout simplement pas sans Javascript, tel les forums faits avec le logiciel libre Discourse. D’autres comme ici, Liberté GNU/Linux, est à peu près visible, mais vous ne pourrez pas laisser de commentaires, par exemple, car l’anti-spam a besoin de Javascript pour fonctionner.

Vous pouvez aussi faire un nouveau profil (en sauvegardant vos marque-pages auparavant) et réinstaller manuellement vos modules. Il suffit de ne pas tenir compte de l’avertissement de Firefox. J’ai ainsi de nouveau tous mes modules, ouf! Mais je pense qu’il ne faut pas faire la mise à jour de vos modules et qu’il faut même désactiver la mise à jour automatique (« Onglets Modules » > « Mises à jour » [petite icône en haut à droite]). Chez moi, elle est désactivée dans le fichier user.js mais il faut penser à faire les mises à jour de temps en temps en cliquant sur la bonne ligne dans l’onglet « Modules ».

Firefox

Si vous avez la version commune de Firefox, tous vos modules ont été désactivés, voire supprimés. Donc, grande prudence. Le mieux est de fermer Firefox et de consacrer votre dimanche à une activité différente ;-) — on peut faire plein de choses sur un ordinateur :-).

En principe, le paramètre à modifier dans Firefox-ESR n’existe plus dans Firefox mais vous pouvez toujours vérifier sur la page about:config. Voyez Sécuriser Firefox, votre vie privée et votre ordinateur

Si vous aviez uMatrix et si vous connaissez en gros les requêtes que veulent vous imposer les sites que vous vous fréquentez, vous pouvez déterminer quels sites sont sûrs et quels sites ne pas aller voir en ce moment.

Par exemple, Liberté GNU/Linux est un site sans requête nocive ou inutile, ce qui est extrêmement rare. En revanche, les sites de Pôle Emploi et de l’URSSAF, par exemple, font des requêtes à Google Analytics jusque dans votre espace personnel, ce qui est infâme pour des services publics.

Bien sûr, Firefox a une fonction intéressante, depuis la version 60 (donc également dans Firefox ESR) : les « Onglets Conteneurs ».

Nénamoins, ce n’est pas une fonction magique ; elle limite le pistage en vous protègeant des interactions entre les sites web ou même entre les pages d’un même site web. La page web ouverte dans son « Onglet Conteneur ». ne communique pas avec d’autres pages. Par exemple, Google Analytics de la page Pôle Emploi ne voit pas son Google Analytics de la page URSAFF qui est également ouverte (dans un « Onglet Conteneur » ou dans un onglet ordinaire). En fait, je doute que les « Onglets Conteneurs » soient très efficaces contre Google Analytics.

Tor Browser

Dans Tor Browser, le module NoScript se trouve carrément désactivé et inutilisable. Il est donc déconseillé d’utiliser Tor Browser en l’état, même si vous mettez la barre de sécurité au plus haut. Sur un site comme leboncoin.fr, par exemple, il y a des requêtes XSS que seul NoScript peut bloquer dans Tor Browser. En effet, il est absolument déconseillé d’ajouter des modules dans TorBrowser car vous risquez d’endommager la sécurité et la confidentialité de cette version particulière de Firefox.

Conclusion : patience ou action

Patientez, Mozilla va réagir ou a déjà même réparé sa bourde, le temps que je rédige ce billet…

Ou alors, modifiez vos paramètres pour que Mozilla ne vérifie pas ou du moins ne bloque pas ce que vous rajoutez à Firefox. Vivre sans garde-fous enfin mais attention à ne pas installer n’importe quoi.
Personnellement, j’ai réinstallé mon module supprimé, et sur un autre ordinateur où Mozilla m’avait tout supprimé, j’ai carrément fait un nouveau profil, installé tous les modules que j’utilise (conservés dans un dossier, car je n’installe pas les modules depuis la plateforme des Add-ons, je les télécharge simplement puis les installe manuellement) et refais les paramétrages de ces quelques modules. Et j’ai remis mes marque-pages eux aussi heureusement conservés ;-)

Pour mes client·e·s, ce n’est bien grave car les préférences les protègent du pire (cookies tiers bloqués) et je ne configure pas leur Firefox très sévèrement pour ne pas les perturber dans leurs activités sur le web. Il faudrait quand même réinstaller uBlock Origin qui bloque les sites web tiers nocifs. Il faudra repartir d’un profil neuf, je pense, après cette panne de Mozilla.

NB : Mon image d’entête n’est pas à jour mais pas le temps d’en faire une autre :(

PS : Du coup, je vais me remettre à faire des articles au sujet des modules indispensables qui ont bien changé et vous proposer un fichier user.js pour les dur·e·s à cuire qui ne s’en laissent pas conter ;-) — à bientôt !

En passant par Debian GNU/Linux

Dans Debian GNU/Linux, il est possible d’installer certains modules directement comme des logiciels. Ainsi, Mozilla n’a pas son mot à dire et donc les modules sont toujours actifs et intouchés par la panne de Mozilla. Le problème, c’est qu’il y a très peu d’extensions disponibles dans les paquets Debian, et encore moins pour la version stable actuelle “Stretch” (Debian 9).

6 commentaires

  • Bonjour,

    Du coup je suis passé sous Waterfox. J’ai pu conserver tous les modules sauf noscript. J’ai pu en réisntaller une ancienne version via ce site
    https://legacycollector.org/firefox-addons/722/index.html

    Est-ce correct ?

    • Liberté GNU/Linux

      Bonjour PATTENROND,

      De mon point de vue prudent, ce n’est pas une bonne idée de changer de navigateur pour Waterfox qui est beaucoup moins sûr que Firefox, en fait. En effet, Firefox bénéficie d’une excellente documentation tenue à jour qui permet de modifier des paramètres de Firefox utilement et ainsi d’améliorer nettement la protection de la vie privée et la sécurité du navigateur. Voir Sécuriser Firefox, votre vie privée et votre ordinateur (article que je dois mettre à jour mais qui contient lien bien utile).

      D’après la page https://spyware.neocities.org/articles/waterfox.html, Ecosia, le moteur de recherche qui se dit écolo (selon Wikipedia, c’est peut-être vrai mais je n’ai pas encore eu le temps de me renseigner), enregistre et transmet à Bing (=Microsoft) toutes les rercherches que font les internautes via ce moteur de recherche. Bien sûr, on peut changer le moteur de recherche comme dans Firefox où il est conseillé de supprimer tous les moteurs de recherche inclus sauf DuckDuckGo peut-être et utiliser Framabee.org ou lite.qwant.com (avec des précautions dont je parlerai très prochainement). Et il faut vérifier aussi la page de politique de confidentialité de Waterfox.

      Enfin, il ne faut pas utiliser de vieilles versions des modules et surtout pas d’un site non-officiel. Par des modules dépassés ou pas authentiques, on risque d’introduire des failles de sécurité ou des malwares dans le navigateur. Si ce dernier n’est pas isolé du système ou des autres logiciels ou des dossiers du disque dur, il peut y avoir une grosse faille.

      Donc, en attendant, si on a perdu tous ses modules, on peut passer à Tor Browser qui a été mis à jour de manière tout à fait satisfaisante, avec la toute nouvelle version de NoScript. Lire attentivement le site de Tor pour l’installation du navigateur car il faut faire les vérifications indiquées du fichier téléchargé avant d’installer Tor Browser. Tout est bien expliqué.

      Bon TorBrowser :-)

  • Bonjour,

    Merci pour ta réponse. Comme je suis une fervent lecteur de ton blog, je comprends bien tout ce que tu expliques.
    J’utilise aussi beaucoup Tor Browser. Donc je crois que c’est avec lui que ja vais naviguer en attendant le retour de Firefox.

    Bonne journée

  • Et oui, j’ai vu ça. Néanmoins je trouve TOR 8.0.9 très réussi. Alors que faire ?

    • Liberté GNU/Linux

      Bonjour PATTENROND,

      Que veux-tu dire par « Alors que faire ? » ? Tu peux utiliser Tor Browser si tu le préfères à Firefox. En fait, l’usage n’est pas le même mais il y a des internautes qui n’utilisent que Tor Browser.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *