La signature des modules complémentaires dans Firefox

Informations de la révision
  • Identifiant de la révision : 130536
  • Date de création :
  • Créateur : Mozinet
  • Commentaire : quelques corrections
  • Vérifiée : Oui
  • Vérifiée :
  • Vérifiée par : Mozinet
  • Révision approuvée ? Oui
  • Est la révision courante ? Non
  • Prêt pour la localisation : Non
Source de la révision
Contenu de la révision
Utilisateurs de Firefox ESR : la signature des modules complémentaires sera disponible dans la version 45 d'ESR.

Les modules complémentaires qui changent les paramètres de votre navigateur ou qui collectent vos informations personnelles sans votre permission deviennent de plus en plus communs. Certains modules peuvent ajouter des boutons ou des barres d’outils non désirés, changer vos paramètres de recherche, ou introduire des publicités ou des logiciels malveillants dans votre ordinateur. Firefox va désormais vérifier que les modules que vous avez installés ont bien reçu une signature numérique de Mozilla. Cet article explique comment fonctionne la signature des modules complémentaires.

Pour utiliser cette nouvelle fonctionnalité, veuillez mettre à jour vers la dernière version de Firefox.

Qu'est-ce qu'un module complémentaire signé ?

Mozilla vérifie et « signe » les modules conformes à des directives de sécurité qui assurent que les informations personnelles des utilisateurs ne seront pas piratées ou manipulées. Tous les modules hébergés sur addons.mozilla.org sont soumis à ce processus d'examen pour qu'ils soient vérifiés et signés. Les modules hébergés sur d'autres sites doivent suivre les mêmes directives afin d'être signés par Mozilla.

Pour les développeurs : pour en apprendre davantage sur les directives à suivre pour que votre module soit signé, consultez Signer et distribuer votre module complémentaire (en anglais) et Politiques d'examen (en anglais) sur le Mozilla Developer Network.

Alors que Firefox dispose d'un système de liste de blocage, il est de plus en plus difficile de suivre et de bloquer le nombre toujours croissant de modules malveillants. Le nouveau processus de signature des modules demande aux développeurs de suivre ces directives du développeur Mozilla. La signature des modules pour Firefox contribue à vous protéger contre le piratage de votre navigateur et autres nuisances en leur rendant plus difficile l'installation. Firefox vous signalera les modules tiers qui ne sont pas signés numériquement par Mozilla. Pour l'instant, vous pouvez encore installer un module non signé, mais à vos risques et périls.

Pour les versions de Firefox 43 et ultérieures, Firefox vous empêche d'installer des modules non signés et désactive les modules non signés déjà installés.

Quels types de modules complémentaires doivent être signés ?

Les extensions (modules complémentaires qui ajoutent des fonctionnalités à Firefox) devront être signées. Les thèmes, paquetages linguistiques et plugins n'ont pas besoin d'être signés.

Où pourrais-je rencontrer des modules complémentaires non signés ?

Les modules complémentaires installés à travers le site officiel des modules complémentaires de Firefox passent par des contrôles de sécurité avant d'être publiés. Ces modules sont vérifiés et signés. Lorsque vous installez un module depuis un autre site web, Firefox s'assure que le module complémentaire est signé numériquement.

N'installez que des modules de développeurs en qui vous avez confiance. Les modules complémentaires non vérifiés peuvent contenir des logiciels malveillants ou pirates qui peuvent modifier vos paramètres et voler vos informations.

Que puis-je faire si Firefox désactive un module complémentaire installé ?

Si un module non signé est désactivé, vous ne pourrez pas l'utiliser et le gestionnaire de modules affichera un message vous informant que le module n'a pas pu être vérifié pour son utilisation dans Firefox et a été désactivé. Vous pouvez supprimer le module complémentaire de Firefox et réinstaller une version signée depuis le site des modules complémentaires de Mozilla, si une telle version est disponible.

Si aucune version signée n'est disponible, contactez le développeur ou le fournisseur du module complémentaire pour voir s'ils proposent une version mise à jour et signée de ce module. Vous pouvez aussi leur demander de faire signer leur module complémentaire (en anglais).

Passer outre à la signature des modules complémentaires (utilisateurs avancés)

Vous pouvez outrepasser le paramètre qui impose l'obligation de signature des modules complémentaires en passant la préférence xpinstall.signatures.required à false dans l'éditeur de configuration de Firefox (page about:config). Plus aucune assistance n'est alors disponible pour tout changement fait avec l'éditeur de configuration, veuillez donc l'utiliser à vos risques et périls. À partir de la version 48 de Firefox, l'obligation de signature des modules complémentaires sera renforcée : il ne sera plus possible de passer outre dans les versions classique (Release) et bêta (Beta) de Firefox. Consultez l'article du wiki de Mozilla sur la signature des modules complémentaires (en anglais) pour en savoir plus.

Comment faire pour utiliser un module non signé ? (utilisateurs avancés)

La version Firefox ESR 45, ainsi que l'édition Développeur et la version Nightly permettent d'outrepasser le paramètre qui impose l'obligation de signature des modules complémentaires en passant la préférence xpinstall.signatures.required à false dans l'éditeur de configuration Firefox (page about:config page). Il existe également des versions précédentes spéciales sans marques de Firefox qui autorisent ce changement. Consultez l'article du wiki de Mozilla sur la signature des modules complémentaires (en anglais) pour en savoir plus.