Firefox 52 envisage de mieux protéger les utilisateurs contre le fingerprinting de polices système
En se servant d'un mécanisme de liste blanche
Le 2017-01-01 14:45:25, par Stéphane le calme, Chroniqueur Actualités
Pour le fingerprinting, une technique d'identification et de pistage de l'internaute ou du mobinaute basée sur une empreinte digitale numérique unique, les sites web peuvent avoir recours à des paramètres variés. Ils peuvent par exemple passer par l’énumération des plugins du navigateur, la variable “user-agent”, la liste des polices de votre système, etc.
D’ailleurs, pour mesurer à quel point la collecte d’information à partir de votre navigateur est extrêmement facile, il suffit de vous rendre sur Panopticlick, un outil de mesure en ligne proposé par l’EFF qui vous permet de lancer des tests de votre niveau de pistage, même si le site prévient que « parce que les techniques de pistage sont complexes, subtiles et en constante évolution, Panopticlick ne mesure pas toutes les formes de pistage et de protection. ».
Dans la prochaine version de Firefox (Firefox 52), qui sera disponible le 07 mars prochain, les ingénieurs de Mozilla ont intégré un mécanisme pour protéger les utilisateurs du fingerprinting se basant sur la liste des polices de leur système. Le fingerprinting de polices repose sur les opérateurs de site Web déployant des scripts Flash ou JavaScript qui interrogent le navigateur de l'utilisateur pour obtenir une liste de polices installées localement.
En vous rendant sur un outil de mesure comme Panopticlick ou Browserprint, vous allez obtenir une liste de police système qui sont révélées aux sites. Avec Firefox 52, l’idée est de se servir d’un paramètre facultatif et configurable qui va vous permettre de restreindre l’accès aux polices. Ainsi, au lieu d’envoyer toutes les polices installées sur votre système d’exploitation, Firefox ne va renvoyer que les polices que vous avez inclus sur une liste blanche.
Notons que Firefox ne va pas bloquer les requêtes pour les polices système, mais il va répondre de la même manière à chaque requête, retournant une liste standard de polices installées par défaut sur chaque système d'exploitation. Cette liste blanche rend la technique de fingerprinting de polices non pertinente pour les utilisateurs de Firefox. Ce mécanisme de protection, qui est déjà présent dans le canal bêta, est actif depuis un moment déjà sur le Tor Browser.
Dans la grande majorité des cas, ce sont les régies publicitaires qui se servent de fingerprinting via des scripts cachés qui sont livrés avec des annonces. Les annonceurs peuvent alors prendre la liste des polices locales et, associée à d’autres détails de l’utilisateur, peuvent créer une empreinte numérique unique pour chaque utilisateur. Cette empreinte sera alors utilisé pour diffuser des annonces ciblées et / ou suivre les utilisateurs sur le web.
En juillet 2016, les ingénieurs Mozilla ont amorcé le projet Tor Uplift. L’objectif de ce dernier était d’améliorer les fonctionnalités de protection de la vie privée de Firefox en s’appuyant sur celles de Tor. Un mois plus tard, avec la publication de Firefox 48, Mozilla a fait un pas dans cette direction en bloquant une liste d’URL connues pour héberger des scripts de fingerprinting.
Source : Bugzilla, Tor Uplift
Et vous ?
Voir aussi :
D’ailleurs, pour mesurer à quel point la collecte d’information à partir de votre navigateur est extrêmement facile, il suffit de vous rendre sur Panopticlick, un outil de mesure en ligne proposé par l’EFF qui vous permet de lancer des tests de votre niveau de pistage, même si le site prévient que « parce que les techniques de pistage sont complexes, subtiles et en constante évolution, Panopticlick ne mesure pas toutes les formes de pistage et de protection. ».
Dans la prochaine version de Firefox (Firefox 52), qui sera disponible le 07 mars prochain, les ingénieurs de Mozilla ont intégré un mécanisme pour protéger les utilisateurs du fingerprinting se basant sur la liste des polices de leur système. Le fingerprinting de polices repose sur les opérateurs de site Web déployant des scripts Flash ou JavaScript qui interrogent le navigateur de l'utilisateur pour obtenir une liste de polices installées localement.
En vous rendant sur un outil de mesure comme Panopticlick ou Browserprint, vous allez obtenir une liste de police système qui sont révélées aux sites. Avec Firefox 52, l’idée est de se servir d’un paramètre facultatif et configurable qui va vous permettre de restreindre l’accès aux polices. Ainsi, au lieu d’envoyer toutes les polices installées sur votre système d’exploitation, Firefox ne va renvoyer que les polices que vous avez inclus sur une liste blanche.
Notons que Firefox ne va pas bloquer les requêtes pour les polices système, mais il va répondre de la même manière à chaque requête, retournant une liste standard de polices installées par défaut sur chaque système d'exploitation. Cette liste blanche rend la technique de fingerprinting de polices non pertinente pour les utilisateurs de Firefox. Ce mécanisme de protection, qui est déjà présent dans le canal bêta, est actif depuis un moment déjà sur le Tor Browser.
Dans la grande majorité des cas, ce sont les régies publicitaires qui se servent de fingerprinting via des scripts cachés qui sont livrés avec des annonces. Les annonceurs peuvent alors prendre la liste des polices locales et, associée à d’autres détails de l’utilisateur, peuvent créer une empreinte numérique unique pour chaque utilisateur. Cette empreinte sera alors utilisé pour diffuser des annonces ciblées et / ou suivre les utilisateurs sur le web.
En juillet 2016, les ingénieurs Mozilla ont amorcé le projet Tor Uplift. L’objectif de ce dernier était d’améliorer les fonctionnalités de protection de la vie privée de Firefox en s’appuyant sur celles de Tor. Un mois plus tard, avec la publication de Firefox 48, Mozilla a fait un pas dans cette direction en bloquant une liste d’URL connues pour héberger des scripts de fingerprinting.
Source : Bugzilla, Tor Uplift
Et vous ?
Voir aussi :
-
GoustiFruitMembre éclairéAu contraire ça me paraît contreproductif d'utiliser un navigateur de sa propre conception, ça te rend d'autant plus "unique" sur le web, donc plus facilement traçable.le 05/01/2017 à 12:56
-
NamicaMembre expérimentéBien vu. Surtout si une majorité adopte une liste blanche standardisée.
Je vais me remettre à utiliser les versions Beta sans attendre le mois de mars.le 03/01/2017 à 2:01 -
BattantMembre avertiBonjour,
Et si on utilisait des extensions comme quickjs et disconnect.mepour activer et désactiver JavaScript contre on a envie concours ne pas être traqué par Facebook Twitter et compagnie
https://addons.mozilla.org/fr/firefo...addon/quickjs/
https://addons.mozilla.org/fr/firefo...on/disconnect/
Salutations et encore bonne annéele 05/01/2017 à 17:45 -
NamicaMembre expérimentéSauf que tu peux renvoyer l'empreinte que tu veux, si toutefois tu arrives à développer une usine à gaz capable de contourner _toutes_ les sources d'empreintes, y compris les "content delivery network" ET LE TEST DES POLICES installées sur ta machine.
En théorie, donc, c'est possible. Mais à mon avis ça reste une théorie.le 08/01/2017 à 0:25 -
NamicaMembre expérimentéC'est loin d'être suffisant par rapport aux techniques de prise d'empreintes de navigateur, notamment les CDN (Content Delivery Network), les cookies Flash, le sniffing des polices, de l'historique de navigation, et j'en passe.
Par ailleurs, on ne peut pas toujours éviter le javascript pour qu'un site soit consultable, et Quickjs ne marche qu'en tout ou rien.
Et Disconnect ne filtre que certains éléments les plus flagrants.
Ces deux extensions, pour intéressantes qu'elles soient, sont insuffisantes. Voir: https://www.eff.org/deeplinks/2015/1...printing-tests
Soit sur un de mes profils Firefox:
Ca plus un autre élément tel qu'une adresse IP, adresse mail, ... et le mal est fait.
(ici selon panopticlick 2, le mal vient principalement des polices installées sur cette machine)
Autre exemple: cherche "evercookie" dans un moteur de recherche (qwant.com, duckduckgo, startpage ou autre moteur de recherche respectueux de la V.P.) et notamment http://samy.pl/evercookie/
Ceux qui sont partant pour réaliser une étude des meilleures extensions FF pour rendre le tracking difficile, voire inefficace, peuvent me contacter pour un article collaboratif: http://www.developpez.net/forums/d16...contremesures/le 08/01/2017 à 0:43 -
Arques62510Nouveau Candidat au ClubBonjour/Bonsoir,
Lorsque nous nettoyons les Cookies (cf. Suppression), cela engendre un Nouvel Appareil. Sera-ce toujours le cas ?le 06/03/2017 à 16:19 -
BattantMembre avertiBonjour,
Je n'arrive pas à accéder à cette page car je n'est semblerait-il pas les permissions nécessaire.
http://www.developpez.net/forums/d16...contremesures/pourriez-vous m'aider ?
Battant, vous n'avez pas la permission d'accéder à cette page. Ceci peut être dû à plusieurs raisons :
Vous n'avez pas la permission d'accéder à la page que vous essayez d'afficher. Êtes-vous en train d'essayer de modifier le message de quelqu'un d'autre ou d'accéder à des options d'administration ? Vérifiez que vous êtes autorisé à effectuer cette action dans les règles du forum.
Si vous essayez d'envoyer un message, l'administrateur a peut-être désactivé votre compte, ou celui-ci est en attente d'activation si vous venez de le créer, ou de réactivation si vous avez changé votre email, ou encore peut-être de validation par un modérateur.
Merci d'avance
Meilleurs salutationsle 06/03/2017 à 16:45 -
NamicaMembre expérimenté@ Battant : merci pour votre intérêt.
C'est un post dans une section du forum réservée aux rédacteurs et contributeurs.
J'y disais ceci:
Si vous êtes intéressé par une collaboration au projet, contactez un des community manager de DVP.Bonjour,
Je propose de réaliser en avec tout membre volontaire un article sur les mesures que nous pouvons prendre afin de limiter dans la mesure du possible les tracking dont nous sommes l'objet lors de nos navigations sur la toile.
Ou en tout cas, de rendre plus difficile le tracking par les marketeux qui veulent me fourguer des pub pour les médoc de ma vielle voisine qui m'a consulté pour l’Alzheimer de son mari.
Périmètre / procédure (en gros) en termes d'étapes à accomplir :
Étude limitée au navigateur Firefox (est-il besoin d'argumenter ?)
et création d'instance personnalisées de firefox pour l'étude.
Recensement des sources de tracking
Critère: l'empreinte de l'EFF https://www.eff.org/deeplinks/2015/1...printing-tests
ou autre si proposition pertinente.
Sondage/recensement : quelles extension utilisez-vous pour vous protéger du tracking sur le web ?
Recrutement d'une douzaine de de collaborateurs
Faire un plan de test d'extensions, de leur analyse (et de leur comparaison avec d'autres navigateurs ?)
Récolte des résultats
Création d'un team d'analyse, analyse et conclusion
Publication de l'article collaboratif.
Il faudra aussi un chef de projet.
Je ne veux pas m'imposer à ce poste. D'autres membres éminents sont peut-être plus qualifiés que moi.
Qu'en pensez-vous ?
Qui est partant ?
Si OK, nous aurons sans doute besoin d'un sous-forum spécialisé pour le projet et réservé aux membres du projet.le 09/03/2017 à 1:42 -
BattantMembre avertiBonjour,
J'ai un pc sur windows 7 avec firefox. J'ai du remettre la version 45 car après avoir fait la mise à jour vers firefox 51 firefox bloque l'accès à presque tous les site prétendant que la sécurité est compromise.
Exemple de site :
https://searx.me/
Il faut sans arrêt ajouter des exception de sécurité ce qui n'est pas faisable surtout pour une personne novice en informatique.
Avez-vous déjà eû se problème ?
Comment le résoudre ?
Merci pour votre support
Meilleures salutationsle 20/03/2017 à 15:08 -
Marc-LExpert éminent sénior
Bonjour,
aucun de souci de mon côté ! Je suis sur Seven encore sous la version 51 mais plus pour longtemps …
___________________________________________________________________________________________________________Je suis Paris, Istanbul, Berlin, Nice, Bruxelles, Charlie, …le 20/03/2017 à 17:12