Mozilla a publié la semaine dernière une nouvelle mise à jour Firefox 3.5.3, mise à jour de sécurité corrigeant son lot habituel de bugs et vulnérabilités. Rien que de bien classique, Mozilla nous ayant habitué à un rythme de mises à jour quasi mensuelles pour son navigateur. Sauf que cette fois Firefox 3.5.3 embarque une nouvelle fonction : la vérification de la version du plugin Flash Player. Nouveauté à priori d'autant plus intéressante que le flash est de plus en plus présent sur le Web, et que peu d'utilisateurs pensent à mettre régulièrement à jour Flash Player, les vulnérabilités et failles critiques dans ce dernier étant nombreuses et fréquentes.
Donc au premier écran d'accueil après installation de la mise à jour, Firefox 3.5.3 vérifie que l'ordinateur est bien équipé de la dernière version de Flash Player, et si ce n'est pas le cas, affiche un écran d'alerte incitant à mettre Flash Player à jour :
Ma version étant à jour lors de la maj Firefox 3.5.3, j'ai sciemment réinstallé une ancienne version de Flash Player avant de retourner sur la page d'accueil pour faire le test jusqu'au bout, ce qui m'a valu quelques surprises pas vraiment heureuses..
Après avoir sollicité la mise à jour de Flash Player à partir de l'écran de Firefox 3.5.3, on arrive chez Adobe, et là, si on ne fait pas attention, on télécharge la dernière version du plugin, mais aussi McAfee Security Scan, outil de sécurité certes, mais qui, que je sache, n'est pas indispensable au fonctionnement du plugin ni encore moins à celui de Firefox. Ce qui est inacceptable, ce n'est pas cette sollicitation d'installation d'une application tierce (hélas de plus en plus fréquente) mais le fait que cette option de téléchargement additionnel et inutile (voir dangereux pour les risques potentiels de conflit avec l'éventuel antivirus résident) soit cochée par défaut lors d'une manip à vocation sécuritaire ! Il convient donc de décocher cette option avant de lancer le téléchargement du plugin :
Après cette manip et avoir donc cliqué sur "Télécharger", deuxième surprise : ce n'est pas le classique "flash_player_install.exe" qui m'est proposé, mais l'installation d'une extension "Adobe DLM".. Gné ? Après le coup de McAfee, je serais plutôt méfiant, mais bon, juste pour voir, j'accepte l'installation, je redémarre Firefox, pour constater que cette extension est en fait juste le gestionnaire de téléchargements d'Adobe (DLM = "DownLoad Manager"), donc pas vraiment indispensable, et en tout cas dépourvue de la seule fonction qui me paraît essentielle dans le contexte : rechercher (et proposer) régulièrement les mises à jour de Flash Player (sans attendre le prochain update de Firefox), comme le fait par exemple Update Notifier pour les extensions. Si vous ne souhaitez pas installer cette extension qui ne servira qu'à vous offrir un bel écran pendant la mise à jour d'Adobe, refusez l'installation et cliquez sur le lien d'installation manuelle, en privilégiant le téléchargement (qui vous permettra de conserver la version en archives après exécution) plutôt que l'installation immédiate :
Alors certes il s'agit de la première implémentation de cette fonction de surveillance des plugins, c'est une démarche qui va théoriquement dans le bon sens au niveau de la sécurité de Firefox et elle sera probablement améliorée dans les prochaines versions de Firefox (et étendue aux autres plugins), mais encore faudra-t-il qu'elle se recentre sur l'essentiel : la sécurité dans la simplicité et la transparence, ce qui, au vu de cette première mouture signée Adobe, n'est pas encore gagné..