Developpez.com

Club des développeurs et IT pro
Plus de 4 millions de visiteurs uniques par mois

Firefox 52 envisage de mieux protéger les utilisateurs contre le fingerprinting de polices système
En se servant d'un mécanisme de liste blanche

Le , par Stéphane le calme, Chroniqueur Actualités
Cette initiative vous semble-t-elle suffisante pour combattre le fingerprinting de police système ?
Pour le fingerprinting, une technique d'identification et de pistage de l'internaute ou du mobinaute basée sur une empreinte digitale numérique unique, les sites web peuvent avoir recours à des paramètres variés. Ils peuvent par exemple passer par l’énumération des plugins du navigateur, la variable “user-agent”, la liste des polices de votre système, etc.

D’ailleurs, pour mesurer à quel point la collecte d’information à partir de votre navigateur est extrêmement facile, il suffit de vous rendre sur Panopticlick, un outil de mesure en ligne proposé par l’EFF qui vous permet de lancer des tests de votre niveau de pistage, même si le site prévient que « parce que les techniques de pistage sont complexes, subtiles et en constante évolution, Panopticlick ne mesure pas toutes les formes de pistage et de protection. ».

Dans la prochaine version de Firefox (Firefox 52), qui sera disponible le 07 mars prochain, les ingénieurs de Mozilla ont intégré un mécanisme pour protéger les utilisateurs du fingerprinting se basant sur la liste des polices de leur système. Le fingerprinting de polices repose sur les opérateurs de site Web déployant des scripts Flash ou JavaScript qui interrogent le navigateur de l'utilisateur pour obtenir une liste de polices installées localement.

En vous rendant sur un outil de mesure comme Panopticlick ou Browserprint, vous allez obtenir une liste de police système qui sont révélées aux sites. Avec Firefox 52, l’idée est de se servir d’un paramètre facultatif et configurable qui va vous permettre de restreindre l’accès aux polices. Ainsi, au lieu d’envoyer toutes les polices installées sur votre système d’exploitation, Firefox ne va renvoyer que les polices que vous avez inclus sur une liste blanche.

Notons que Firefox ne va pas bloquer les requêtes pour les polices système, mais il va répondre de la même manière à chaque requête, retournant une liste standard de polices installées par défaut sur chaque système d'exploitation. Cette liste blanche rend la technique de fingerprinting de polices non pertinente pour les utilisateurs de Firefox. Ce mécanisme de protection, qui est déjà présent dans le canal bêta, est actif depuis un moment déjà sur le Tor Browser.

Dans la grande majorité des cas, ce sont les régies publicitaires qui se servent de fingerprinting via des scripts cachés qui sont livrés avec des annonces. Les annonceurs peuvent alors prendre la liste des polices locales et, associée à d’autres détails de l’utilisateur, peuvent créer une empreinte numérique unique pour chaque utilisateur. Cette empreinte sera alors utilisé pour diffuser des annonces ciblées et / ou suivre les utilisateurs sur le web.

En juillet 2016, les ingénieurs Mozilla ont amorcé le projet Tor Uplift. L’objectif de ce dernier était d’améliorer les fonctionnalités de protection de la vie privée de Firefox en s’appuyant sur celles de Tor. Un mois plus tard, avec la publication de Firefox 48, Mozilla a fait un pas dans cette direction en bloquant une liste d’URL connues pour héberger des scripts de fingerprinting.

Source : Bugzilla, Tor Uplift

Et vous ?

Qu'en pensez-vous ? Cette initiative vous semble-t-elle suffisante pour combattre le fingerprinting de police système ?

Voir aussi :

Mozilla envisage de mettre fin au support de Firefox sur Windows XP et Vista, mais va fournir des mises à jour de sécurité jusqu'en septembre 2017


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de Namica Namica - Membre confirmé https://www.developpez.com
le 03/01/2017 à 2:01
Bien vu. Surtout si une majorité adopte une liste blanche standardisée.
Je vais me remettre à utiliser les versions Beta sans attendre le mois de mars.
Avatar de marsupial marsupial - Membre éprouvé https://www.developpez.com
le 04/01/2017 à 3:03
C'est déjà bien mais peut mieux faire. D'ailleurs il existe déjà mieux pour les personnes à caractère névralgique. Concevoir son propre navigateur reste encore le plus sûr.
Sans réinventer la roue il existe dans Debian 7 un bon exemple à partir duquel travailler.
Avatar de GoustiFruit GoustiFruit - Membre éclairé https://www.developpez.com
le 05/01/2017 à 12:56
Au contraire ça me paraît contreproductif d'utiliser un navigateur de sa propre conception, ça te rend d'autant plus "unique" sur le web, donc plus facilement traçable.
Avatar de Battant Battant - Membre actif https://www.developpez.com
le 05/01/2017 à 17:45
Bonjour,

Et si on utilisait des extensions comme quickjs et disconnect.mepour activer et désactiver JavaScript contre on a envie concours ne pas être traqué par Facebook Twitter et compagnie

https://addons.mozilla.org/fr/firefox/addon/quickjs/

https://addons.mozilla.org/fr/firefox/addon/disconnect/

Salutations et encore bonne année
Avatar de Namica Namica - Membre confirmé https://www.developpez.com
le 08/01/2017 à 0:25
Citation Envoyé par GoustiFruit Voir le message
Au contraire ça me paraît contreproductif d'utiliser un navigateur de sa propre conception, ça te rend d'autant plus "unique" sur le web, donc plus facilement traçable.
Sauf que tu peux renvoyer l'empreinte que tu veux, si toutefois tu arrives à développer une usine à gaz capable de contourner _toutes_ les sources d'empreintes, y compris les "content delivery network" ET LE TEST DES POLICES installées sur ta machine.
En théorie, donc, c'est possible. Mais à mon avis ça reste une théorie.
Avatar de Namica Namica - Membre confirmé https://www.developpez.com
le 08/01/2017 à 0:43
Citation Envoyé par Battant Voir le message
Bonjour,

Et si on utilisait des extensions comme quickjs et disconnect.mepour activer et désactiver JavaScript contre on a envie concours ne pas être traqué par Facebook Twitter et compagnie

https://addons.mozilla.org/fr/firefox/addon/quickjs/

https://addons.mozilla.org/fr/firefox/addon/disconnect/

Salutations et encore bonne année
C'est loin d'être suffisant par rapport aux techniques de prise d'empreintes de navigateur, notamment les CDN (Content Delivery Network), les cookies Flash, le sniffing des polices, de l'historique de navigation, et j'en passe.
Par ailleurs, on ne peut pas toujours éviter le javascript pour qu'un site soit consultable, et Quickjs ne marche qu'en tout ou rien.
Et Disconnect ne filtre que certains éléments les plus flagrants.
Ces deux extensions, pour intéressantes qu'elles soient, sont insuffisantes. Voir: https://www.eff.org/deeplinks/2015/1...printing-tests
Soit sur un de mes profils Firefox:

Ca plus un autre élément tel qu'une adresse IP, adresse mail, ... et le mal est fait.
(ici selon panopticlick 2, le mal vient principalement des polices installées sur cette machine)

Autre exemple: cherche "evercookie" dans un moteur de recherche (qwant.com, duckduckgo, startpage ou autre moteur de recherche respectueux de la V.P.) et notamment http://samy.pl/evercookie/

Ceux qui sont partant pour réaliser une étude des meilleures extensions FF pour rendre le tracking difficile, voire inefficace, peuvent me contacter pour un article collaboratif: http://www.developpez.net/forums/d16...contremesures/
Avatar de Arques62510 Arques62510 - Nouveau Candidat au Club https://www.developpez.com
le 06/03/2017 à 16:19
Bonjour/Bonsoir,

Lorsque nous nettoyons les Cookies (cf. Suppression), cela engendre un Nouvel Appareil. Sera-ce toujours le cas ?
Avatar de Battant Battant - Membre actif https://www.developpez.com
le 06/03/2017 à 16:45
Bonjour,

Je n'arrive pas à accéder à cette page car je n'est semblerait-il pas les permissions nécessaire.

http://www.developpez.net/forums/d16...contremesures/

Battant, vous n'avez pas la permission d'accéder à cette page. Ceci peut être dû à plusieurs raisons :

Vous n'avez pas la permission d'accéder à la page que vous essayez d'afficher. Êtes-vous en train d'essayer de modifier le message de quelqu'un d'autre ou d'accéder à des options d'administration ? Vérifiez que vous êtes autorisé à effectuer cette action dans les règles du forum.
Si vous essayez d'envoyer un message, l'administrateur a peut-être désactivé votre compte, ou celui-ci est en attente d'activation si vous venez de le créer, ou de réactivation si vous avez changé votre email, ou encore peut-être de validation par un modérateur.
pourriez-vous m'aider ?

Merci d'avance

Meilleurs salutations
Avatar de Namica Namica - Membre confirmé https://www.developpez.com
le 09/03/2017 à 1:42
@ Battant : merci pour votre intérêt.
Citation Envoyé par Battant Voir le message
Bonjour,

Je n'arrive pas à accéder à cette page car je n'est semblerait-il pas les permissions nécessaire.

http://www.developpez.net/forums/d16...contremesures/

pourriez-vous m'aider ?

Merci d'avance

Meilleurs salutations
C'est un post dans une section du forum réservée aux rédacteurs et contributeurs.
J'y disais ceci:
Bonjour,

Je propose de réaliser en avec tout membre volontaire un article sur les mesures que nous pouvons prendre afin de limiter dans la mesure du possible les tracking dont nous sommes l'objet lors de nos navigations sur la toile.
Ou en tout cas, de rendre plus difficile le tracking par les marketeux qui veulent me fourguer des pub pour les médoc de ma vielle voisine qui m'a consulté pour l’Alzheimer de son mari.

Périmètre / procédure (en gros) en termes d'étapes à accomplir :

Étude limitée au navigateur Firefox (est-il besoin d'argumenter ?)
et création d'instance personnalisées de firefox pour l'étude.

Recensement des sources de tracking
Critère: l'empreinte de l'EFF https://www.eff.org/deeplinks/2015/1...printing-tests
ou autre si proposition pertinente.
Sondage/recensement : quelles extension utilisez-vous pour vous protéger du tracking sur le web ?
Recrutement d'une douzaine de de collaborateurs
Faire un plan de test d'extensions, de leur analyse (et de leur comparaison avec d'autres navigateurs ?)
Récolte des résultats
Création d'un team d'analyse, analyse et conclusion
Publication de l'article collaboratif.

Il faudra aussi un chef de projet.
Je ne veux pas m'imposer à ce poste. D'autres membres éminents sont peut-être plus qualifiés que moi.

Qu'en pensez-vous ?
Qui est partant ?

Si OK, nous aurons sans doute besoin d'un sous-forum spécialisé pour le projet et réservé aux membres du projet.
Si vous êtes intéressé par une collaboration au projet, contactez un des community manager de DVP.
Avatar de Battant Battant - Membre actif https://www.developpez.com
le 20/03/2017 à 15:08
Bonjour,

J'ai un pc sur windows 7 avec firefox. J'ai du remettre la version 45 car après avoir fait la mise à jour vers firefox 51 firefox bloque l'accès à presque tous les site prétendant que la sécurité est compromise.

Exemple de site :

https://searx.me/

Il faut sans arrêt ajouter des exception de sécurité ce qui n'est pas faisable surtout pour une personne novice en informatique.

Avez-vous déjà eû se problème ?

Comment le résoudre ?

Merci pour votre support

Meilleures salutations
Offres d'emploi IT
Architecte systèmes externes TP400 H/F
Safran - Ile de France - Moissy-Cramayel (77550)
Ingénieur développement logiciel embarqué temps réel (model based) H/F
Safran - Ile de France - VILLAROCHE
Ingénieur statisticien H/F
Safran - Ile de France - Moissy-Cramayel (77550)

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil