Graham Cluley de Sophos rapporte que l'addon ShowIP pour Mozilla Firefox envoie les liens des pages web visitées à un service web appelé ip2info.org sous forme non cryptée. Apparemment, l'extension du navigateur ne limite pas ce comportement au mode de navigation normal car il transmet également les liens qui sont accessibles via le protocole HTTPS mais aussi les sites web visites avec le mode Navigation privée activé...
ShowIP affiche les adresses IP (IPv4/IPv6) de la page web sur laquelle vous êtes dans la barre d'état du navigateur et donne accès à des services tels que le whois et Netcraft. Cette extension est particulièrement populaire auprès des administrateurs réseau et des développeurs et c'est pour cela que j'en parle ici. D'après Mozilla, l'addon aurait été installé prés de 170.000 fois.
Le comportement décrit a été observé pour la première fois sur la version 1.3 de l'addon, qui a été publié le 19 Avril et est resté dans les nouvelles versions. De nombreux utilisateurs se sont plaints au sujet de la violation de la confidentialité sur la page de l'addon. Le développeur de ShowIP a répondu en expliquant que l'addon envoie le lien vers le serveur "pour accéder à la base de données IP2Location" et en promettant que HTTPS sera ajouté dés que possible.
Selon un whois, le service ip2info.org est détenu par les "Hats on Marketing UG", une agence de SEO et de marketing qui est une filiale de efamous GmbH. Apparemment la société a repris le développement de l'addon du développeur original, Jan Dittmer. C'est comme le dit Jan sur un post Google+, il s'est occupé de son addon pendant 7 ans et par manque de temps il a décidé de le vendre. Dommage pour lui que son travail ait été entaché à ce point...
Mozilla a depuis réagi en annulant la version disponible de ShowIP et en remettant la version 1.0 d'origine et affirme qu'il travaille en collaboration avec le développeur pour répondre aux questions.