Ant Video Downloader and Player permet de récupérer des vidéos diffusées sur les sites de streaming mais collecte et transmet des données personnelles.
Mozilla est à nouveau confronté à un problème de sécurité concernant une extension (add-on) proposée par un éditeur tiers. Après l'affaire MafiaaFire, la Fondation a dû se pencher sérieusement sur le cas de 'Ant Video Downloader and Player', selon une information de The Register.
Très populaire, cette extension téléchargée 7 millions de fois depuis sa mise en ligne (7000 téléchargements par jour), permet de récupérer sur son ordinateur des vidéos disponibles chez les géants du streaming comme YouTube ou Dailymotion.
Profil :
Problème, s'il est pratique, ce module complémentaire est également fort indiscret. Simon Newton, un chercheur a ainsi découvert par hasard que l'extension envoyait sans le consentement de l'utilisateur des données comme la date de connexion ou la version du navigateur à un serveur distant localisé aux Etats-Unis. Par ailleurs, ces données sont associées à identifiant unique présents dans des cookies également transmis.
Ces informations peuvent alors permettre de dresser des profils d'utilisateurs assez précis même s'ils demeurent anonymes.
Sur son blog, le chercheur explique : "Comme il y a cet identificateur unique, des modèles pourraient être créés en fonction de l'endroit où je me trouve. Par exemple si j'utilise mon ordinateur portable au travail, ou à travers un hotspot public Wifi, l'identifiant et les cookies peuvent être liés à toutes ces adresses IP, dressant une image de non seulement ce que je fais en ligne, mais d'où je le fais".
Toujours selon Simon Newton, le passage par une navigation privée ou par un VPN ne change rien à l'affaire.
Alerté Mozilla a décidé de retirer l'extension de son catalogue même si elle précise que la collecte de données n'est pas problématique en soi, elle doit juste être clairement annoncée à l'utilisateur.
La Fondation a donc demandé à l'éditeur de 'Ant Video Downloader and Player' de clarifier la situation avant d'autoriser à nouveau sa présence sur son site.