Pareil, en moins bien
Google évoque l’abandon du Manifest V2, utilisé par les extensions, au profit d’une V3. La bascule, plusieurs fois reportée, est désormais à nos portes. Elle est enclenchée dans les préversions de Chrome. Bien que l’entreprise affirme que de nombreux problèmes ont été réglés, les bloqueurs de publicité restent moins efficaces avec la nouvelle version.
Le Manifest est la structure servant de base aux extensions dans Chrome. Il définit leurs capacités et droits, ainsi que le périmètre de leurs actions. Cette plateforme, quand elle évolue, impacte profondément le fonctionnement des extensions.
Jusqu’à présent, les extensions étaient basées sur la V2. C’est la version la plus connue, celle qui a fait les beaux jours des bloqueurs de publicité tels qu’Adblock Plus. Google la considérait cependant comme percluse de problèmes de sécurité, avec l’évolution des standards dans ce domaine. Une V3 avait été mise en chantier.
Cependant, beaucoup accusent Google de profiter de cette nouvelle version pour s’attaquer aux bloqueurs de publicité. Et le temps est pratiquement écoulé, comme le confirme la société.
Une simple question de sécurité ?
Le plus gros changement entrainé par l’arrivée de Manifest V3 est la suppression de l’API Web Request. Celle-ci permettait jusqu’ici d’examiner ce qui transitait entre un site web et un navigateur, et surtout d’y réagir. Elle était très utilisée par les bloqueurs de publicité. Et pour cause : Web Request autorise la modification à la volée des requêtes vers un domaine.
Pour Google, le problème relève de la sécurité : une telle interface de programmation donne trop de pouvoir aux extensions. Et si certaines – dont les bloqueurs – le font pour des raisons « légitimes », l’API peut être utilisée pour espionner les communications et autres comportements malveillants. En 2018, Trend Micro avait montré comment l’API avait été utilisée pour créer des botnets destinés au vol de cryptomonnaies.
Pour compenser la disparition de Web Request, Google a proposé une autre API, Declarative Net Request. Le nom de l’API résume d’ailleurs la situation, puisque les extensions doivent déclarer précisément ce qu’elles vont faire.
Avec Declarative Net Request, les extensions ne peuvent plus analyser en temps réel ce qui circule, ni accéder à du code distant. Ces deux importantes modifications améliorent nettement la sécurité des extensions, dont les droits s’en retrouvent d’autant limités. L’internaute y gagne également en contrôle, car il devient possible de moduler plus finement le comportement des extensions.
De multiples reports et ajouts
Le travail sur le Manifest V3 a commencé il y a des années. Google souhaitait l’imposer plus tôt, mais les levées de boucliers ont poussé l’entreprise à enchainer les reports. En juin 2022, nous indiquions par exemple que Google ne laissait plus qu’un an aux développeurs d’extensions pour transiter vers la nouvelle plateforme. Mais ce délai a été étendu.
Dans sa communication datée du 30 mai, Google revient sur ce point. Pour la société, ce fut surtout l’occasion de récolter un nombre croissant de retours. Elle dit avoir suivi de nombreuses demandes et recommandations des développeurs d’extensions. « Nous apprécions la collaboration et les commentaires de la communauté qui nous ont permis – et continuent de nous permettre – d’améliorer constamment la plateforme d’extensions », indique Google.
Google donne plusieurs exemples d’ajouts, comme le support des scripts utilisateurs, la possibilité d’utiliser les API DOM en arrière-plan, ou encore la capacité à prendre en charge jusqu’à 330 000 règles statiques et 30 000 dynamiques. Résultat, Google indique que 85 % des extensions présentes sur le Chrome Web Store sont déjà en MV3.
Des bloqueurs de publicité moins efficaces
Parmi les autres changements, les auteurs d’extensions n’auront plus à faire valider chaque liste statique. Pour les bloqueurs de publicité, c’est un bon point. En revanche, les listes dynamiques restent sujettes à approbation. Or, ce sont les plus intéressantes.
Ce changement est accompagné d’un autre : une liste ne pourra plus être mise à jour directement. Pour récupérer le nouveau jeu de données, il faudra que l’extension elle-même soit mise à jour. Un processus lourd, dénoncé l’année dernière par Krzysztof Modras, l’un des auteurs de l’extension Ghostery. Avec cette modification, envoyer une nouvelle liste chez les utilisateurs revient à refaire passer l’extension par le processus de validation du Chrome Web Store.
Le 3 mai, les développeurs d’Adblock Plus (eyeo) avertissaient des changements à venir dans la version Manifest V3 de l’extension, disponible depuis quelques semaines. Le fonctionnement est modifié, avec des limitations imposées. Par exemple, la nouvelle mouture contient 100 listes préinstallées, l’internaute pouvant en activer jusqu’à 50. Cependant, impossible pour l’instant de s’abonner à des listes tierces.
Sur la gestion des listes cependant, eyeo assure avoir trouvé un moyen de contourner la limitation de Manifest V3. L’extension force son Service Worker à redémarrer, la mise en pause intervenant 30 secondes sans activité dans le navigateur.
Récemment, le développeur Raymond Hill a montré comment l’extension uBlock Origin Lite – version Manifest V3 d’uBlock Origin – était clairement moins efficace dans le blocage publicitaire.
Une disparition rapide, mais par phases
Chrome 127, dont la bêta est imminente, doit marquer le début de la fin pour Manifest V2. Si vous avez de « vieilles » extensions, un bandeau d’information apparaitra dans le panneau de gestion dédié (pour les personnes qui pensent à y aller). Les extensions MV2 actuellement mises en avant ne le seront plus.
« Cette mesure sera suivie progressivement, dans les mois à venir, par la désactivation de ces extensions. Les utilisateurs seront dirigés vers le Chrome Web Store, où il leur sera recommandé des alternatives à Manifest V3 pour leur extension désactivée. Pendant une courte période après la désactivation des extensions, les utilisateurs pourront encore réactiver leurs extensions Manifest V2, mais au fil du temps, cette option disparaîtra également », explique Google sur son blog.
Notez que les extensions MV2 ne seront pas toujours remplacées par leur nouvelle mouture MV3. Dans le cas d’Ublock Origin par exemple, il faudra soit passer par une alternative, soit récupérer la version Lite, qui ne contient pas de filtrage dynamique. Les développeurs ont indiqué cette information dans une FAQ.