- Le nouveau cadre des extensions Chrome, Manifest V3, met en avant des améliorations en matière de confidentialité, de sécurité et de performances, mais l’EFF le critique comme un changement qui réduit les capacités des extensions contrôlées par les utilisateurs
- La nouvelle spécification limite les fonctions qui permettent de surveiller, modifier et calculer les communications entre le navigateur et les sites web, ce qui peut affaiblir les extensions de confidentialité comme les bloqueurs de traqueurs
- L’argument de la sécurité est lui aussi contesté ; une responsable de Firefox a indiqué qu’une extension malveillante peut exfiltrer des données en utilisant uniquement l’API webRequest en lecture, même sans
blocking webRequest - Côté performances, une étude de 2020 menée par Princeton et l’University of Chicago conclut que les extensions de confidentialité que Mv3 restreint améliorent au contraire les performances du navigateur
- Dans un contexte où Google contrôle à la fois le navigateur dominant et un vaste réseau publicitaire, Mv3 est présenté comme un changement qui réduit le choix des utilisateurs et la capacité de réaction des développeurs d’extensions
Les enjeux de fond autour de Manifest V3
- Manifest V3 (Mv3) est un ensemble de changements prévu pour l’écosystème des extensions Google Chrome, que Google présente comme une mesure en faveur de la confidentialité, de la sécurité et des performances
- L’EFF maintient depuis sa première annonce que Mv3 nuit aux utilisateurs
- Mv3 est présenté, comme FLoC et le Privacy Sandbox, comme un exemple de conflit d’intérêts lié au fait que Google contrôle à la fois le navigateur web dominant et un grand réseau publicitaire sur Internet
Les contraintes imposées aux extensions de confidentialité
- Mv3 limite les capacités des extensions web, en particulier celles qui surveillent, modifient et calculent les communications entre le navigateur et les sites consultés par l’utilisateur
- Certaines extensions de confidentialité fonctionnant de cette manière, comme certains bloqueurs de traqueurs, pourraient voir leurs capacités fortement réduites avec la nouvelle spécification
- Le texte cite des données selon lesquelles Google a installé des traqueurs sur 75 % du million de sites web les plus visités, ce qui renforce les inquiétudes face aux restrictions d’accès imposées aux extensions par Google
Réfutation des arguments sur la sécurité et les performances
- Il reste incertain que Mv3 améliore réellement la sécurité de façon significative
- Firefox exploite le plus grand marché d’extensions non fondé sur Chromium et a indiqué qu’il adopterait Mv3 pour maintenir la compatibilité entre navigateurs
- Lors de l’AdBlocker Dev Summit 2020, la responsable des opérations des modules complémentaires de Firefox a déclaré que lorsqu’un module malveillant passe les contrôles de sécurité, il cherche généralement à observer les échanges entre le navigateur de l’utilisateur et les sites web afin d’en extraire des données
- Selon cette explication, ce type d’action malveillante reste possible avec l’API
webRequestactuelle, même sans fonction de blocage
- L’EFF estime qu’un examen plus rigoureux des extensions pourrait améliorer la sécurité, mais reproche à Chrome d’avoir choisi de limiter les capacités de toutes les extensions plutôt que d’adopter cette approche
- Sur le plan des performances, une étude de 2020 menée par des chercheurs de Princeton et de l’University of Chicago conclut que les extensions de confidentialité visées par Mv3 améliorent en réalité les performances du navigateur
Réactions des développeurs et des défenseurs de la confidentialité
- Jonathan Mayer critique Chrome en affirmant qu’il s’est comporté non pas comme un agent de l’utilisateur, mais comme un agent de Google, avec une confidentialité par défaut faible, une incitation à relier un compte Google et la mise en œuvre de fonctions publicitaires intrusives
- Helen Nissenbaum et Daniel Howe, créateurs d’AdNauseam et de TrackMeNot, estiment que Mv3 positionne Chrome comme un arbitre puissant décidant quels logiciels peuvent survivre
- En 2017, Google a interdit AdNauseam sur le Chrome Web Store, et des dizaines de milliers d’utilisateurs ont perdu les données accumulées ainsi que l’accès à cette extension open source
- Selon eux, Mv3 risque d’éloigner les utilisateurs de divers outils de confidentialité, y compris les bloqueurs de publicité
- Ghostery qualifie Manifest V3 de recul nuisible pour la confidentialité sur Internet
- Krzysztof Modras de Ghostery estime que les
service workersetdeclarativeNetRequestdevraient être laissés comme options plutôt qu’imposés, afin de proposer des solutions adaptées à différents cas d’usage - AdGuard affirme que presque toutes les extensions de navigateur seront affectées d’une manière ou d’une autre : certaines rencontreront des problèmes ou verront leurs fonctionnalités dégradées, et d’autres pourraient cesser d’exister
- Giorgio Maone, développeur de NoScript, considère Manifest V3 comme le pire changement d’API d’extension de navigateur qu’il ait vu en 16 ans, et estime que les extensions complexes existantes pourraient devoir être réécrites ou abandonner des fonctions essentielles
- Gildas, développeur de SingleFile, voit Manifest V3 comme un recul majeur sur les plans fonctionnel et technique, sans bénéfice réel pour l’utilisateur
Conséquences pour le choix en ligne et l’écosystème des extensions
- Même des changements techniques de détail, comme une spécification d’extension de navigateur, peuvent affecter tous les internautes
- Étant donné que Google est depuis des années la plus grande entreprise publicitaire au monde, les nouvelles restrictions de Mv3 sont présentées comme une étape supplémentaire dans la définition par Google de la manière dont les utilisateurs vivent en ligne
- Les développeurs d’extensions craignent que Mv3 ne réduise le choix des utilisateurs et l’innovation fondée sur les extensions, tout en affaiblissant la capacité des extensions de confidentialité et de sécurité à répondre rapidement et de façon créative aux nouvelles menaces
- Ressources associées :
1 commentaires
Avis sur Hacker News
Sans vouloir défendre Google, ce changement est très proche de l’API navigateur/contenu qu’Apple a introduite vers 2016
Les extensions web sont un énorme trou de confidentialité et de sécurité que les utilisateurs acceptent souvent sans bien s’en rendre compte. L’article lui-même explique à quel point les extensions peuvent être dangereuses : Manifest V3 limiterait la capacité des extensions à surveiller, modifier et analyser les échanges entre le navigateur et les sites web visités. Oui, c’est précisément le point. Il s’agit de limiter la capacité des extensions à surveiller, espionner et voler le contenu de tous les sites web que l’utilisateur consulte
La capacité de Safari à bloquer les publicités est clairement inférieure à celle de Chrome ou Firefox. Quand on dit ça, certaines personnes se fâchent parfois, mais il n’y a pas vraiment matière à débat. Ce n’est pas pour rien que uBlock Origin n’existe pas sur Safari, ni si les meilleures apps de blocage de pubs pour Safari s’exécutent comme applications de bureau puis communiquent avec l’extension
Safari dispose de nombreuses excellentes fonctions de protection de la vie privée, mais le blocage des pubs n’en fait pas partie. Donc, quand on dit que Manifest V3 va nuire aux bloqueurs de publicités, les arguments sont solides : on peut voir ce qui s’est passé quand Safari a fait la même chose
La plupart des changements de Manifest V3 sont en fait plutôt bons, en particulier les changements du modèle de permissions. La permission active au clic est excellente elle aussi, et les améliorations des permissions optionnelles sont correctes
Je comprends que les gens appellent ça « Manifest V3 » parce qu’il faut bien un nom, mais j’aimerais qu’on n’oublie pas que Firefox travaille aussi à sa propre implémentation de Manifest V3, avec la plupart des améliorations de confidentialité et presque aucun des inconvénients
Supprimer les gestionnaires de requêtes bloquants n’améliore guère la confidentialité. Les permissions d’onglet actif et les permissions optionnelles au moment de l’exécution, elles, l’améliorent. Quand les gens disent que Manifest V3 est mauvais, ils parlent généralement des restrictions que Google a ajoutées par-dessus les éléments de protection de la vie privée. Ces restrictions n’apportent presque rien en matière de confidentialité, tout en laissant, même dans le Manifest V3 de Chrome, la possibilité d’espionner les utilisateurs sur tous les sites de manière triviale, et elles cassent les bloqueurs de publicités
On peut obtenir les améliorations de confidentialité sans en accepter les inconvénients
Manifest V3 ne change pas les API d’observation utilisables par les extensions. Du point de vue d’un développeur d’extension, cela signifie que Manifest V3 ne modifie pas la partie observation de
chrome.webRequest. Autrement dit, avec Manifest V3, les extensions peuvent toujours voir les mêmes données qu’avant, y compris les URL visitées par l’utilisateur et même le contenu des pages visitées[1][1] https://www.eff.org/deeplinks/2019/07/googles-plans-chrome-e...
Il y a notamment des limites arbitraires sur le nombre de filtres, des régressions fonctionnelles, et le refus total de Google de proposer des extensions pour Chrome for Android. En plus, quand on essaie soi-même un bloqueur de pubs en version MV3, ce n’est plus que l’ombre pâle de l’ancien. uBlock Origin Lite bloque bien les pubs, mais les fenêtres pop-up s’ouvrent d’abord puis affichent un message indiquant qu’elles ont été bloquées ; prévenir après l’ouverture de la fenêtre ruine l’objectif même. AdGuard laisse passer énormément de publicités. Au final, l’expérience est cassée, et le seul gagnant est l’activité publicitaire de Google
La forme ultime du blocage publicitaire sera sans doute qu’un réseau neuronal inspecte la frame finale de la page web rendue, juste avant son affichage à l’utilisateur, puis recouvre les publicités
Sans bloqueur de publicités dans Chrome, il devient difficile de l’utiliser pour des recherches liées au travail
À moins d’aller jusqu’à la deuxième page environ, il est difficile de trouver une man page ou la documentation d’une API pertinente, et même si les premiers résultats peuvent parfois être utiles, dès qu’il faut faire du frontend en particulier, même des sites corrects deviennent pratiquement inutilisables sans uBlock
Dans ce cas, je finirai sans doute par abandonner la recherche Google et chercher directement sur Stack Overflow ou Reddit, ou par me créer des raccourcis vers les man pages et la documentation. Au besoin, je pourrais utiliser GPT pour les parser. Ou bien l’entreprise abandonnera Chrome. On ne peut vraiment pas travailler sans bloqueur de publicités
Je suis développeur de Privacy Badger et j’ai coécrit plusieurs articles de l’EFF sur MV3. J’ai quelques réflexions.
Il y a quelques années, dans https://www.eff.org/deeplinks/2021/12/googles-manifest-v3-st..., nous demandions ceci :
Google devait annuler la transition vers les service workers, rétablir le
webRequestbloquant et interrompre l’abandon de Manifest V2 jusqu’à ce que toutes les régressions fonctionnelles soient résolues.Il faut reconnaître certaines choses. Google a effectivement mis en pause l’abandon de MV2, corrigé des bugs et comblé des lacunes fonctionnelles. Par exemple avec des rustines comme l’API userScripts et l’API Offscreen. Et Google a aussi apporté plusieurs améliorations à DNR, le remplaçant volontairement limité de la puissante et flexible API webRequest. Google a également assoupli les exigences initiales, totalement déraisonnables, sur la durée de vie des service workers.
Alors, où en sont aujourd’hui les service workers et DNR ?
L’obligation de construire les extensions autour des service workers ajoute de la complexité et des tracas pour les développeurs, mais grâce à plusieurs changements de politique et solutions de contournement, ce n’est plus un problème aussi important qu’il y a deux ans. Google a déployé beaucoup d’efforts pour faire en sorte que les service workers fonctionnent à peu près correctement dans les extensions. Au final, créer des extensions de navigateur est devenu plus difficile, mais les service workers ne sont, à mon avis, plus un obstacle rédhibitoire.
En revanche, le
webRequestbloquant a toujours largement disparu : il n’est plus utilisable, sauf pour certains usages précis d’authentification de proxy, et DNR reste un substitut inacceptable.Il subsiste encore des lacunes fonctionnelles comme https://github.com/w3c/webextensions/issues/302. Ce qui est intéressant, c’est qu’une bonne partie du pistage que les extensions de protection de la vie privée ne parviennent plus à traiter correctement vient désormais de Google.
Plus important encore, DNR n’est fondamentalement pas un remplaçant suffisant de webRequest.
Comme nous l’écrivions dans https://www.eff.org/deeplinks/2021/12/googles-manifest-v3-st..., supprimer le
webRequestbloquant n’empêche pas les extensions malveillantes, mais nuit uniquement aux extensions de confidentialité et de sécurité. Si Manifest V3 est une étape vers une expérience des extensions plus « sûre », c’est-à-dire plus restreinte, à quoi ressemblera Manifest V4 ? Si la réponse est des API moins nombreuses et plus faibles au nom de la « sécurité », ce sont finalement les utilisateurs qui en pâtiront. Le champ des extensions possibles sera limité à ce que Google autorise explicitement, et les développeurs créatifs perdront les outils nécessaires pour innover. Pendant ce temps, les extensions qui protègent la vie privée et la sécurité des utilisateurs face aux diverses menaces du Web resteront figées dans le passé, incapables de suivre l’évolution des menaces.En résumé, nous dépendons désormais tous de Google pour continuer à faire évoluer les API afin de rattraper les annonceurs et les pisteurs. Google est une immense entreprise publicitaire. Les extensions Chrome ont déjà connu une décennie perdue, sans grand changement jusqu’à la proposition de Manifest V3.
Donner à Google les clés des technologies anti-pistage n’est pas une bonne idée.
Si vous utilisez Chrome, vous devriez faire attention. Chrome est l’un des outils dont Google se sert pour maintenir et étendre son contrôle sur le Web.
Vous donnez à Google le pouvoir de faire des choses douteuses qui ne profitent ni à vous ni à la plupart des gens.
Discussion précédente : https://news.ycombinator.com/item?id=29502439
C’est un article de 2021.
L’EFF a publié quantité d’articles sur les méfaits de MV3 entre 2019 et 2021, puis est restée silencieuse. Je me demande si l’évolution depuis leur a donné tort ou raison. Je ne suis pas ce domaine en détail, sauf du point de vue d’un utilisateur qui utilise des extensions Chrome dans Vivaldi.
Comme c’est un article de 2021, il commence à dater. Firefox a lui aussi adopté Manifest V3, ou l’a au moins rendu compatible.
Désormais, tout ce que Firefox a à faire, c’est ne rien faire. S’il conserve les extensions V2, les utilisateurs partiront quand les bloqueurs de pubs commenceront à ne plus bloquer les pubs dans Chrome.
J’espère que Chrome accélérera agressivement son calendrier.
Si Google impose réellement dans Chrome un changement qui réduit sensiblement l’efficacité du blocage des publicités, cela pourrait paradoxalement pousser un nombre assez important d’utilisateurs vers Firefox ou d’autres alternatives.
Firefox a gagné quand il était bien meilleur qu’IE sur un point qui comptait vraiment pour beaucoup de gens : il avait des onglets. Ensuite, Chrome a gagné quand il était bien meilleur que Firefox sur des points qui comptaient pour beaucoup de gens : il était rapide, et quand un onglet plantait, tout le navigateur ne plantait pas avec lui.
Pendant longtemps, aucun navigateur n’a été nettement meilleur que Chrome sur un aspect auquel beaucoup de gens attachent de l’importance. Je ne sais pas si Manifest V3 est aussi mauvais que tout le monde le dit, mais si c’est vraiment le cas, cela pourrait créer un élément différenciateur suffisamment important.
Chrome avait aussi ses propres problèmes de mémoire, mais le point 3 l’a emporté sur le reste. S’il existe aujourd’hui un lock-in autour de Chrome, il tient à A) ce point 3, B) un meilleur processus de synchronisation intégré à Gmail, et C) de meilleurs outils de déploiement en entreprise.
Mes clients en entreprise utilisent Chrome environ 4 fois plus que Firefox. Ça ne me plaît pas, mais je dois privilégier l’expérience client.
Cela dit, la stabilité de Firefox s’est beaucoup améliorée, et celle de Chrome aussi. Chrome devient de moins en moins agréable. Là où la synchronisation n’est pas utilisée, je vois une voie pour migrer les utilisateurs vers l’an prochain.