Firefox 67 : Mozilla prévoit d'ajouter une nouvelle technique anti-fingerprinting appelée letterboxing
Empruntée au navigateur Tor

125PARTAGES

13  0 
Mozilla Firefox 67 pourrait embarquer une nouvelle technique anti-fingerprinting qui protège contre certaines méthodes de fingerprinting liées à la taille de la fenêtre. Rappelons que le fingerprinting, une technique d'identification et de pistage de l'internaute ou du mobinaute basée sur une empreinte numérique unique, les sites web peuvent avoir recours à des paramètres variés. Ils peuvent par exemple passer par l’énumération des plugins du navigateur, la variable “user-agent”, la liste des polices de votre système, etc.

La technique provient d'expériences conduites par les développeurs du navigateur Tor et fait partie du projet Tor Uplift amorcé en juillet 2016. L’objectif de ce projet est d’améliorer les fonctionnalités de protection de la vie privée de Firefox en s’appuyant sur celles de Tor.

Appelée "letterboxing", cette nouvelle technique ajoute des "espaces gris" sur les côtés d'une page Web lorsque l'utilisateur redimensionne la fenêtre du navigateur, lesquels sont ensuite supprimés progressivement une fois l'opération de redimensionnement de la fenêtre terminée.

Les réseaux de publicité détectent souvent certaines fonctionnalités du navigateur, telles que la taille de la fenêtre, pour créer des profils utilisateur et suivre les utilisateurs lorsqu'ils redimensionnent leur navigateur et se déplacent entre les nouvelles URL et les nouveaux onglets du navigateur.

L'idée générale est que "letterboxing" masquera les dimensions réelles de la fenêtre en conservant la largeur et la hauteur de la fenêtre à des multiples de 200px et 100px pendant l'opération de redimensionnement - en générant les mêmes dimensions de fenêtre pour tous les utilisateurs - puis en ajoutant un "espace gris". "en haut, en bas, à gauche ou à droite de la page en cours.

Le code publicitaire qui écoute les événements de redimensionnement de la fenêtre, puis lit les dimensions génériques, envoie les données à son serveur, et ce n’est qu’après que Firefox supprime les "espaces gris" à l’aide d’une animation fluide quelques millisecondes plus tard.

En d'autres termes, letterboxing retarde le remplissage de la fenêtre du navigateur récemment redimensionnée avec le contenu réel de la page suffisamment longtemps pour amener le code publicitaire à lire des dimensions de fenêtre incorrectes.

Letterboxing n'est pas une nouvelle technique. Mozilla est en train d’intégrer une fonctionnalité qui avait été initialement développée pour le navigateur Tor il ya quatre ans, en janvier 2015.

Une démonstration de la fonction anti-fingerprinting letterboxing est disponible ci-dessous, car elle a été développée pour la première fois pour le navigateur Tor:


Letterboxing est actuellement disponible dans Firefox Nightly et sera disponible en version stable pour tous les utilisateurs avec la sortie de Firefox 67 en mai.

Cependant, la fonctionnalité n'est pas activée par défaut. Les utilisateurs de Firefox devront d’abord se rendre sur la page about: config, entrer «privacy.resistFingerprinting» dans le champ de recherche, puis basculer les fonctions anti-fingerprinting du navigateur sur «true».


Le support Letterboxing de Firefox fonctionne non seulement lors du redimensionnement d'une fenêtre de navigateur, mais également lorsque les utilisateurs maximisent la fenêtre du navigateur ou passent en mode plein écran.

Selon une entrée de Bugzilla, voici comment la protection letterboxing de Firefox fonctionne dans ces deux états:

Citation Envoyé par Mozilla
Lorsque l'utilisateur maximise la fenêtre, la fenêtre la plus grande possible est utilisée, à nouveau un multiple de 200 x 100. Les marges grises vides de la partie chromée de la fenêtre recouvrent le reste de l'écran. De même, en plein écran, la fenêtre de visualisation reçoit à nouveau des dimensions d'un multiple de 200 x 100 et les zones chromées qui l'entourent sont définies en noir.

Enfin, un zoom supplémentaire a été appliqué à la fenêtre d'affichage en mode plein écran et en mode maximisé pour utiliser au maximum l'écran et minimiser la taille des marges vides. Dans ce cas, la fenêtre avait une apparence "letterboxing" (marges en haut et en bas uniquement) ou "pillbox" (marges à gauche et à droite uniquement). window.devicePixelRatio était toujours falsifié à 1.0 même lorsque pixels du périphérique! = pixels CSS.
Mozilla n’est pas au début de son combat contre le fingerprinting

Dans Firefox 52, les ingénieurs de Mozilla ont intégré un mécanisme pour protéger les utilisateurs du fingerprinting se basant sur la liste des polices de leur système. Le fingerprinting de polices repose sur les opérateurs de site Web déployant des scripts Flash ou JavaScript qui interrogent le navigateur de l'utilisateur pour obtenir une liste de polices installées localement.

Bien entendu, Firefox n’a pas bloqué les requêtes pour les polices système, mais répond désormais de la même manière à chaque requête, retournant une liste standard de polices installées par défaut sur chaque système d'exploitation. Cette liste blanche rend la technique de fingerprinting de polices non pertinente pour les utilisateurs de Firefox.

Depuis sa version 58, Firefox ne permet plus aux entreprises et aux sites web utilisant l’élément HTML canvas d’extraire des données sur les internautes sans le consentement de ces derniers. En effet, le navigateur avertit les utilisateurs quand un site web utilise cet élément HTML en soulignant à l’utilisateur le fait que cette balise HTML pourrait être utilisée uniquement à des fins d’identification de sa machine. L’extraction de cet élément pouvait se faire jusque là par les sites web de manière silencieuse.

Source : BugZilla

Des chercheurs développent une technique de fingerprinting permettant d'identifier à 99 % un internaute, même s'il se sert de plusieurs navigateurs
La part de marché de Firefox augmente pour la deuxième fois consécutive en 2 mois, le navigateur libre pourrait-il survivre auprès de Chrome ?
Firefox : Mozilla va ajouter le blocage du minage de cryptomonnaies et du fingerprinting à son navigateur
Après Google, Mozilla se prépare à apporter l'isolation de site à son navigateur Firefox, avec son projet Fission

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de weed
Membre éclairé https://www.developpez.com
Le 07/03/2019 à 20:50
La version actuelle est la 65, il va falloir patienter . Bravo à la fondation de toujours trouver des moyens pour protéger la vie privée de ses utilisateurs.
Il fallait y penser le coup de la signature numérique en récupérant comme information la résolution de l'écran ou la police utilisé
Avatar de Mingolito
Membre extrêmement actif https://www.developpez.com
Le 08/03/2019 à 3:03
Voila un truc qui risque de faire baisser l'action Critéo
Avatar de tes49
Membre averti https://www.developpez.com
Le 08/03/2019 à 13:18
Salut
Citation Envoyé par weed Voir le message
La version actuelle est la 65, il va falloir patienter .
Cette fonction est désactivée par défaut et donc activable... Même sur la release.

Celle-ci et la préférence citée ont déjà fait parlé d'elles sur forums.mozfr.org, dés 2017... Car déjà activé sur les versions EME_free (en plus de Tor..)... Mais il y avait des problèmes de zoom vis-à-vis de certains sites et il failait désactivé cette fonction !.. A espéré, que ce problème soit résolu...

Sinon, juste à patienter jusqu’à la 2ème quinzaine de mai (la 67 sort le 14..)...

Citation Envoyé par Stéphane le calme Voir le message
empruntée au navigateur Tor
Cela dit, il est était basé sur la release de Firefox et par la suite sur la version ESR de Firefox...
Avatar de Watilin
Expert confirmé https://www.developpez.com
Le 16/03/2019 à 18:33
Voilà qui met une fois de plus en lumière l’intérêt des extensions comme NoScript, uMatrix, etc.
Pendant que les développeurs de navigateurs trouvent des solutions de guérison alors que le mal est déjà fait, ces extensions sont des solutions de prévention.

 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web