Neutralité du net : Firefox participe à la censure du site hit-parade.com

Que se passe t-il lorsque vous gérez un site depuis dix ans et que Google décide comme un grand que votre site est subitement malveillant ? Ni une ni deux, vous passez sur liste noire. L’impact sur le référencement est immédiat : vous perdez votre positionnement et votre popularité.

On peut principalement se poser la question : Qui régule cette blacklist ? Elle est bien tenue par Google, par l’intermédiaire du site badwarebusters.org. Il génère une liste noire internationale de sites malveillants dont Google se sert pour son moteur de recherche.

Firefox a choisi d’utiliser le module badwarebuster de Google pour signaler à ses utilisateurs les sites jugés malveillants. Nous allons voir les faiblesses de ce modules et ce que cela pourrait entrainer en cas de dérive.

Le site http://www.hit-parade.com/ a pu être victime d’une faille. Ce logo tout le monde le connait, Hit-Parade réalise un classement de sites par popularité depuis de nombreuses années.

Seulement voilà, si un internaute malveillant a pu uploader un virus qu’il a ensuite lui même signalé à Google, qui nous assure que le taux de « faux positifs » reste correct ? Visiblement personne et c’est bien là le problème : Firefox -en utilisant le module- participe à la censure de sites qui apparaissent de manière non légitime dans cette blackliste et de manière très insistante au plus près des internautes.

Ce qu’il s’est passé

Ce site de classement, sur lequel nous pouvons retrouver PC-Impact ou encore Hardware.fr, a été blacklisté le 05 aout par badwarebusters.org. L’accès via le moteur de recherche s’en retrouve interdit, comme on peut le constater sur cette page.

Voici les explications de Google que vous trouverez ici.

Quel est l’état actuel du site Web www.hit-parade.com ?

Ce site est considéré comme suspect et vous risquez d’endommager votre ordinateur si vous le visitez.

Une partie de ce site a été répertoriée 1 fois comme générant une activité suspecte au cours des 90 derniers jours.

Que s’est-il passé lorsque Google a visité ce site ?

Sur les 35 pages testées sur ce site au cours des 90 derniers jours, 1 page(s) a (ont) généré le téléchargement et l’installation de programmes malveillants sans l’autorisation de l’internaute. Google a visité ce site pour la dernière fois le 2010-08-07 et un contenu suspect a été détecté sur ce site pour la dernière fois le 2010-08-05.

[…]

Ce site a-t-il servi d’intermédiaire pour la diffusion de programmes malveillants ?

Au cours des 90 derniers jours, www.hit-parade.com ne semble pas avoir servi d’intermédiaire pour l’infection de sites Web.

Ce site a-t-il déjà hébergé des programmes malveillants ?

Non, ce site n’a pas hébergé de programmes malveillants au cours des 90 derniers jours.

Comment cela s’est-il produit ?

Dans certains cas, des tiers peuvent ajouter un code malveillant à des sites Web légitimes, ce qui nous amène à afficher le message d’avertissement.

La seule échappatoire ? S’inscrire sur Google et au programme Outils pour Webmaster. C’est inadmissible. Aucun lien ne permet de contourner cette interdiction arbitraire. Pour lever le blacklistage c’est à l’internaute d’aller lui même à la fourrière.

La nature du risque n’est pas évaluée par Google. Le cas de Hit Parade nous montre un fichier .exe qui se télécharge sans permission. Étant sur Linux, ce fichier n’est pas susceptible de nuire à mon environnement. Je choisi donc de contacter le site directement via son URL…

Le rôle de Firefox

Firefox m’affiche à présent le message suivant :

Page malveillante !

La page Web sur class.hit-parade.com a été signalée comme étant une page malveillante et a été bloquée sur la base de vos préférences de sécurité.

Les pages malveillantes essaient d’installer des programmes qui volent des informations personnelles, qui utilisent votre ordinateur pour en attaquer d’autres ou qui endommagent votre système.

Certaines pages distribuent intentionnellement des logiciels malfaisants, mais beaucoup sont compromises sans la permission de leurs propriétaires ou sans qu’ils en aient connaissance.

Sortir d’ici | Pourquoi cette page a t-elle été bloqué ? | Ignorer cet avertissement

Firefox se base sur la principe de précaution. Dans le doute, il est toujours bien d’afficher ce message. Mais attention à l’outil sur lequel on se base. Firefox estime que faire confiance à Google est suffisant pour protéger ses utilisateurs.

En bas du message deux boutons et un lien écrit très petit « Ignorer cet avertissement ». Le problème c’est que Firefox affiche cette alerte « Page Malveillante » à chaque fois que vous cliquez sur un lien !

Un réglage -peut être particulier- de Firefox permet donc de redemander une double validation à un internaute qui a décidé d’avoir accès à l’ensemble du domaine. Ce qu’il manque à Firefox, c’est une mise en liste blanche. L’utilisateur n’a que deux choix :
– ou faire confiance à Google,
– ou désactiver totalement le module.

Aucune de ces deux solutions n’est pertinente. Il y a bien sur des sites nuisibles reconnus, mais qu’en est-il des faux positifs ? Firefox véhicule ainsi des messages d’avertissement sans s’assurer de leur authenticité.

Hit Parade est l’exemple du site fiable depuis près de 10 ans. Une alerte durant les 90 derniers jours a conduit à son blacklistage et celui ci est toujours en place. Ce faux positif est donc présenté aux internautes comme un site redoutablement dangereux à fuir, alors qu’il s’agit d’un acte malveillant à son encontre.

Les faits sont très graves car tout webmaster porte un investissement colossal à construire un site. Si une simple attaque/dénonciation permet de tout réduire à néant, il faut s’interroger sur la pertinence de ce module dont se sert Firefox. Présente t-il des risques mesurés ?

Il n’y a aucun contrôle du début à la fin de la chaine de blacklistage, tout est automatisé. On pourrait suggérer à Google de modérer ces liens de dénonciation, au lieu de faire pleine confiance à son robot. Sur le même principe que les inscriptions à Google Actu par exemple.

Un outils grand public

Firefox ne se contente pas de nous prémunir contre des attaques virales. Il ne tiens compte ni de l’OS de l’utilisateur, ni de son niveau en informatique. Ce navigateur s’est orienté au fil du temps vers l’utilisateur lambda.

Ce qui est désagréable c’est de voir son propre navigateur vous barrer la route à chaque tentative de surf sur un site qui a été jugé coupable sur la base d’une seule opinion. Cette censure est relayé par Firefox de manière insistante.

Qui décide de ce qu’est Internet ? Qui a en effet le pouvoir de faire taire un site et sur quelle base ? Un algorithme. Sans tenir compte de l’âge du site, sans tenir compte de son ancienneté, sans tenir compte de l’impact à long terme sur son positionnement.

Article rédigé à chaud, puis édité le 09/08/10 suite à de nombreuses réactions. J’espère ainsi être plus compréhensible.

16 commentaires sur “Neutralité du net : Firefox participe à la censure du site hit-parade.com

  1. IL y a aussi un « réglage » qui permet de ne voir aucune de ces alertes et de vivre le web comme si les blacklist n’exitaient pas…

  2. …ce qui expose aux véritables sites dont le blacklistage est avéré.

    Le problème est que cette blackliste est prise au bas mot par Google et que Firefox s’en sert sans même avoir de garde fou. Personne ne la contrôle, une alerte de site malveillant touche alors tous les internautes d’un site légitime.

    Ce que je demande ce n’est pas de supprimer toutes les alertes mais que Firefox vérifie que ce filtrage du Net imposé par Google ne soit pas injustifié.

    Censurer est un acte très grave, qui ne doit avoir lieu qu’en dernier recourt. Cette pratique est tellement banalisée que des outils dont se sert Firefox ne font plus de recherche sur les sites signalés comme dangereux et qu’il devient ainsi possible de blacklister pour détruire un site concurrent après en avoir exploité une faille. Sauf qu’en terme de référencement ce type d’action ne pardonne pas, là où un bon positionnement prend des années à s’établir.

    Je reproche surtout à Mozilla d’utiliser des outils Made in USA sans se soucier de leur pertinence. Même contournable, l’affichage de l’alerte reste nocive pour l’e-reputation du site.

  3. Édition > Préférences > Sécurité > Bloquer les sites étant signalés comme des sites d’attaque. 5 secondes, fonctionnalité désactivée.

    C’est peut-être pas la peine de crier à la censure quand il s’agit d’une adhésion volontaire et facultative à une liste de contenus malveillants facilement désactivable.

    Quand au fait que le site « hit-parade » soit blacklisté même si c’est la première fois qu’ils ont un problème, ça semble tout à fait normal. Que ce soit volontaire ou non de leur part ou que ça leur arrive souvent ou non, la dangerosité est la même pour l’internaute et il n’y a pas de raison d’accorder un traitement de faveur à quelque site que ce soit.

  4. Hé bien je pense personnellement que le backlistage ne devrait pas être fait par des programmes. L’adhésion à cette liste n’est pas volontaire elle est imposée. Il faut en revanche une démarche volontaire pour s’en passer.

    Quel intérêt de m’interdire l’accès si le fichier est un .exe et que je suis sur FreeBSD ?

    Je comprend que Firefox, en partenariat avec Google, participe à éviter la propagation de virus. La censure d’un domaine entier est néanmoins bien au delà du geste de prévention.

  5. Pour ma part, je suis content que l’on me protège automatiquement des sites potentiellement dangereux (d’autant plus, qu’il est tout de même possible de « prendre le risque de continuer sa visite »). Et puis, étant moi même webmaster, je trouve ça normal que les webmasters fassent le nécessaire pour protéger leurs sites et également pour se déblacklister.

    Rien ne me choque là dedans.

  6. Même si je suis assez d’accord sur le fait que lorsqu’on s’y connait, il est très désagréable d’être « pris par la main », il ne faut pas oublier que Firefox est avant tout devenu un produit grand public, et il en découle un certain nombre de précaution à prendre, parmis lesquels « mieux vaut prévenir, que guérir ».
    Rien ne t’empêche, toi qui t’y connais, de soit configurer ton navigateur comme tu le souhaite, soit d’en changer.
    Comme tout bon logiciel libre, Firefox ne t’oblige pas à rester sous la mainmise de qui que ce soit. De même que pour Wave tu pourras héberger toi même ton serveur de synchronisation, il est tout à fait possible de changer l’url de provenance des sites à risques (about:config et modifier les paramètres des règles « browser.safebrowsing.* ») pour les remblacer par un autre (mais quel autre ?) voir le désactiver complètement (manip décrite par zanko).
    À l’inverse ce fonctionnement a du bon : il va certainement pousser hit-parade à corriger leur faille. Et je ne me fait pas de souci, avec leur base d’utilisateur ils n’ont rien à craindre d’un tel bloquage momentané.

  7. L’équilibre « liberté de l’utilisateur » vs « Sécurité de l’utilisateur » est une sorte de quadrature du cercle. Personne ne sera content du choix qui sera fait..

  8. Effectivement, je tombe sur une page d’alerte. Mais ça ne change rien, j’ai moi même blacklisté Hit-Parade depuis un moment via Privoxy. Idem pour xiti et autres trucs qui ne servent à rien.

  9. Il aurait été intéressant que tu trouves l’exe qui pose problème… je ne l’ai personnellement pas trouvé (pas énormément cherché). D’après ce que je lis, une page du site télécharge sans te le demander un .exe depuis un domaine russe… je pense qu’il est légitime que google/firefox bloque ce site de manière préventive.

    Mais en allant plus loin que ton exemple (je suppose que c’était le but de ton article), il est vrai qu’imposer la blacklist à tout le monde sans pouvoir la modifier est un peu regrettable. Adblock, par exemple, me semble utiliser un système de blacklist plus intéressant (avec une black et une whitelist configurable qui prévaut sur la/les listes automatiquement mises à jour).

  10. J’en parlais justement avec mon meilleur ami et nous avons eu un petit débat sur la question « Doit-il y avoir une blacklist gérée par Google ? »

    En étant rapidement arrivé à la conclusion que les antivirus ne suffisaient pas à eux seuls à bloquer la propagation des virus, nous avions trouvé le fonctionnement d’Adblock comme étant le plus pertinent.

    Je regrette qu’une telle extension n’existe encore à l’heure actuelle. Mais il serait intéressant de pousser la réflexion sur les forums de Mozilla.

  11. Bonjour,

    Je suis preneur pour échanger avec certaines d’entre vous sur ce problème.

    J’ai actuellement le cas pour un site et après vérification, aucune faille / malware.
    Je ne comprend pas comment Google détecte un risque sur cette page.

    Cordialement

  12. Google a ses raisons et se moque bien d’avoir à se justifier. Firefox suis comme un mouton, le seul moyen de s’en débarrasser c’est d’ajouter le site à tes marques pages et de désactiver la case dans l’onglet Sécurité.

    Je pense que c’est la meilleure chose à faire face à un outil qui n’est pas efficace.

  13. En même temps, concernant hit-parade.com, vous avez déjà essayé de les contacter ? Moi oui. Et quand on finit par trouver comment les contacter via leur site, on est redirigé vers des url en « .ru » assez étranges…Donc si quelqu’un sait comment les contacter sans que j’ai à remplir un dossier à la CNIL, je suis preneur.

  14. Les sites en .ru sont tous aussi intéressants que les sites en .fr 😉

    Cela ne prouve rien hélàs ! Beaucoup de sites sont multilangues. D’ailleurs Hit-parade ne propose aucun contenu c’est un site de classement. Hardware.fr et d’autres sites très connus y sont, je pense que leur crédibilité n’est pas à remettre en cause 🙂

  15. Si je comprends bien Firefox, pour vérifier la présence d’une page (ou d’un domaine ?) sur la liste noire de Google (adwarebuster) va transmettre l’url de la page à Google ? Si c’est le cas, ça veux dire que Firefox collecte les adresses des pages accédées par l’utilisateur et transmet ces adresses à Google, la plupart du temps à l’insue de l’utilisateur. Pinsez-moi, je rêve ? Ca fait un certain temps que je me pose des questions sur la neutralité de Firefox : présence d’un certains nombre de « moteurs de recherche » par défaut dans la barre de recherche, téléchargement par défaut (et installation) d’un programme lié (la google tool bar ou la yahoo tool bar, ou la suite google tools, je ne me souviens plus). Ils sont rémunérés pour ces petits arrangements entre amis ?

  16. La liste noire n’est pas adwarebuster, mais
    http://www.stopbadware.org

    Pour être enlevé de la liste:
    http://www.stopbadware.org/home/reviewinfo

    La liste est téléchargée, d’après Mozilla, toutes les 30 mn. La liste est téléchargée entièrement et contient les noms de domaines à bloquer. Le blocage est justifié par le fait que le domaine est listé dans la catégorie phishing, ou dans la catégorie malware — deux options indépendantes dans Firefox.

    Par conséquent, d’après Mozilla, l’adresse de la page visitée n’est pas transmise à Google, la vérification se faisant sur la base de la liste téléchargée.

    En revanche, lorsque le site est blacklisté, alors Firefox contacte Google pour « double vérification ». Lors de cette opération, il se pourrait que l’adresse de la page soit cette fois-ci transmise. Dans tous les cas les cookies associés à Google sont utilisés.

    Plus d’infos ici:
    http://www.mozilla.com/en-US/firefox/phishing-protection/

L'espace de discussion de cet article est désormais fermé.