Firefox 67 : Mozilla prévoit d'ajouter une nouvelle technique anti-fingerprinting appelée letterboxing
Empruntée au navigateur Tor

380PARTAGES

14  0 
Mozilla Firefox 67 pourrait embarquer une nouvelle technique anti-fingerprinting qui protège contre certaines méthodes de fingerprinting liées à la taille de la fenêtre. Rappelons que le fingerprinting, une technique d'identification et de pistage de l'internaute ou du mobinaute basée sur une empreinte numérique unique, les sites web peuvent avoir recours à des paramètres variés. Ils peuvent par exemple passer par l’énumération des plugins du navigateur, la variable “user-agent”, la liste des polices de votre système, etc.

La technique provient d'expériences conduites par les développeurs du navigateur Tor et fait partie du projet Tor Uplift amorcé en juillet 2016. L’objectif de ce projet est d’améliorer les fonctionnalités de protection de la vie privée de Firefox en s’appuyant sur celles de Tor.

Appelée "letterboxing", cette nouvelle technique ajoute des "espaces gris" sur les côtés d'une page Web lorsque l'utilisateur redimensionne la fenêtre du navigateur, lesquels sont ensuite supprimés progressivement une fois l'opération de redimensionnement de la fenêtre terminée.

Les réseaux de publicité détectent souvent certaines fonctionnalités du navigateur, telles que la taille de la fenêtre, pour créer des profils utilisateur et suivre les utilisateurs lorsqu'ils redimensionnent leur navigateur et se déplacent entre les nouvelles URL et les nouveaux onglets du navigateur.

L'idée générale est que "letterboxing" masquera les dimensions réelles de la fenêtre en conservant la largeur et la hauteur de la fenêtre à des multiples de 200px et 100px pendant l'opération de redimensionnement - en générant les mêmes dimensions de fenêtre pour tous les utilisateurs - puis en ajoutant un "espace gris". "en haut, en bas, à gauche ou à droite de la page en cours.

Le code publicitaire qui écoute les événements de redimensionnement de la fenêtre, puis lit les dimensions génériques, envoie les données à son serveur, et ce n’est qu’après que Firefox supprime les "espaces gris" à l’aide d’une animation fluide quelques millisecondes plus tard.

En d'autres termes, letterboxing retarde le remplissage de la fenêtre du navigateur récemment redimensionnée avec le contenu réel de la page suffisamment longtemps pour amener le code publicitaire à lire des dimensions de fenêtre incorrectes.

Letterboxing n'est pas une nouvelle technique. Mozilla est en train d’intégrer une fonctionnalité qui avait été initialement développée pour le navigateur Tor il ya quatre ans, en janvier 2015.

Une démonstration de la fonction anti-fingerprinting letterboxing est disponible ci-dessous, car elle a été développée pour la première fois pour le navigateur Tor:


Letterboxing est actuellement disponible dans Firefox Nightly et sera disponible en version stable pour tous les utilisateurs avec la sortie de Firefox 67 en mai.

Cependant, la fonctionnalité n'est pas activée par défaut. Les utilisateurs de Firefox devront d’abord se rendre sur la page about: config, entrer «privacy.resistFingerprinting» dans le champ de recherche, puis basculer les fonctions anti-fingerprinting du navigateur sur «true».


Le support Letterboxing de Firefox fonctionne non seulement lors du redimensionnement d'une fenêtre de navigateur, mais également lorsque les utilisateurs maximisent la fenêtre du navigateur ou passent en mode plein écran.

Selon une entrée de Bugzilla, voici comment la protection letterboxing de Firefox fonctionne dans ces deux états:

Citation Envoyé par Mozilla
Lorsque l'utilisateur maximise la fenêtre, la fenêtre la plus grande possible est utilisée, à nouveau un multiple de 200 x 100. Les marges grises vides de la partie chromée de la fenêtre recouvrent le reste de l'écran. De même, en plein écran, la fenêtre de visualisation reçoit à nouveau des dimensions d'un multiple de 200 x 100 et les zones chromées qui l'entourent sont définies en noir.

Enfin, un zoom supplémentaire a été appliqué à la fenêtre d'affichage en mode plein écran et en mode maximisé pour utiliser au maximum l'écran et minimiser la taille des marges vides. Dans ce cas, la fenêtre avait une apparence "letterboxing" (marges en haut et en bas uniquement) ou "pillbox" (marges à gauche et à droite uniquement). window.devicePixelRatio était toujours falsifié à 1.0 même lorsque pixels du périphérique! = pixels CSS.
Mozilla n’est pas au début de son combat contre le fingerprinting

Dans Firefox 52, les ingénieurs de Mozilla ont intégré un mécanisme pour protéger les utilisateurs du fingerprinting se basant sur la liste des polices de leur système. Le fingerprinting de polices repose sur les opérateurs de site Web déployant des scripts Flash ou JavaScript qui interrogent le navigateur de l'utilisateur pour obtenir une liste de polices installées localement.

Bien entendu, Firefox n’a pas bloqué les requêtes pour les polices système, mais répond désormais de la même manière à chaque requête, retournant une liste standard de polices installées par défaut sur chaque système d'exploitation. Cette liste blanche rend la technique de fingerprinting de polices non pertinente pour les utilisateurs de Firefox.

Depuis sa version 58, Firefox ne permet plus aux entreprises et aux sites web utilisant l’élément HTML canvas d’extraire des données sur les internautes sans le consentement de ces derniers. En effet, le navigateur avertit les utilisateurs quand un site web utilise cet élément HTML en soulignant à l’utilisateur le fait que cette balise HTML pourrait être utilisée uniquement à des fins d’identification de sa machine. L’extraction de cet élément pouvait se faire jusque là par les sites web de manière silencieuse.

Source : BugZilla

Des chercheurs développent une technique de fingerprinting permettant d'identifier à 99 % un internaute, même s'il se sert de plusieurs navigateurs
La part de marché de Firefox augmente pour la deuxième fois consécutive en 2 mois, le navigateur libre pourrait-il survivre auprès de Chrome ?
Firefox : Mozilla va ajouter le blocage du minage de cryptomonnaies et du fingerprinting à son navigateur
Après Google, Mozilla se prépare à apporter l'isolation de site à son navigateur Firefox, avec son projet Fission

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de weed
Membre éprouvé https://www.developpez.com
Le 07/03/2019 à 20:50
La version actuelle est la 65, il va falloir patienter . Bravo à la fondation de toujours trouver des moyens pour protéger la vie privée de ses utilisateurs.
Il fallait y penser le coup de la signature numérique en récupérant comme information la résolution de l'écran ou la police utilisé
1  0 
Avatar de Mingolito
Membre extrêmement actif https://www.developpez.com
Le 08/03/2019 à 3:03
Voila un truc qui risque de faire baisser l'action Critéo
0  0 
Avatar de tes49
Membre averti https://www.developpez.com
Le 08/03/2019 à 13:18
Salut
Citation Envoyé par weed Voir le message
La version actuelle est la 65, il va falloir patienter .
Cette fonction est désactivée par défaut et donc activable... Même sur la release.

Celle-ci et la préférence citée ont déjà fait parlé d'elles sur forums.mozfr.org, dés 2017... Car déjà activé sur les versions EME_free (en plus de Tor..)... Mais il y avait des problèmes de zoom vis-à-vis de certains sites et il failait désactivé cette fonction !.. A espéré, que ce problème soit résolu...

Sinon, juste à patienter jusqu’à la 2ème quinzaine de mai (la 67 sort le 14..)...

Citation Envoyé par Stéphane le calme Voir le message

empruntée au navigateur Tor
Cela dit, il est était basé sur la release de Firefox et par la suite sur la version ESR de Firefox...
1  0 
Avatar de Watilin
Expert éminent https://www.developpez.com
Le 16/03/2019 à 18:33
Voilà qui met une fois de plus en lumière l’intérêt des extensions comme NoScript, uMatrix, etc.
Pendant que les développeurs de navigateurs trouvent des solutions de guérison alors que le mal est déjà fait, ces extensions sont des solutions de prévention.
0  0 
Avatar de Christian Olivier
Chroniqueur Actualités https://www.developpez.com
Le 10/04/2019 à 9:26
Firefox 68 Nightly et Firefox Bêta 67 débarquent avec des protections intégrées contre le fingerprinting
Et le cryptojacking

L’an dernier, Nick Nguyen, vice-président des produits chez Mozilla, déplorait le fait que « ;certains traqueurs soumettent les utilisateurs au fingerprinting — une technique qui permet une identification furtive des utilisateurs au travers des informations fournies par les appareils et que les utilisateurs sont incapables de contrôler. D’autres sites déploient des scripts qui minent silencieusement des monnaies cryptographiques sur l’appareil de l’utilisateur ;». Estimant que « ;de telles pratiques font du Web un endroit plus hostile ;», il avait assuré que « ;les futures versions de Firefox bloqueront ces pratiques par défaut ;».


Le mois dernier, des sources bien renseignées suggéraient que Mozilla compte intègrer aux prochaines versions de son navigateur Web une technique anti-fingerprinting qui protège contre certaines méthodes de fingerprinting liées à la taille de la fenêtre, appelée « ;letterboxing ;», et empruntée au navigateur Tor. Cette fonctionnalité est censée retarder le remplissage de la fenêtre du navigateur Web récemment redimensionnée avec le contenu réel de la page suffisamment longtemps pour amener le code publicitaire à lire des dimensions de fenêtre incorrectes.

Mozilla a récemment annoncé sur son site la sortie de Firefox 68 (édition Nightly) et Firefox Bêta 67 qui intègrent tous les deux une fonctionnalité expérimentale permettant aux utilisateurs de mieux se protéger contre le fingerprinting et le cryptojacking (en référence aux techniques qui permettent via un navigateur d’utiliser secrètement les ressources d’un dispositif autre que le sien afin de miner de la monnaie cryptographique). Dans le cadre du développement de ces nouveaux outils de protection en collaboration avec Disconnect, l’éditeur de Firefox a précisé avoir compilé des listes de plusieurs domaines impliqués dans la diffusion de scripts malveillants cibles.

La fonctionnalité n’est pas activée par défaut. Les utilisateurs de Firefox devront se rendre sur : Menu principal — Options — Vie privée et sécurité — Blocage de contenu. Il leur faudra ensuite sélectionner le mode « ;personnalisé ;» pour le blocage de contenu et enfin activer les fonctions anti-fingerprinting et anti-cryptojacking du navigateur.


Mozilla a par ailleurs déclaré : « ;Dans les mois à venir, nous commencerons à tester ces protections avec de petits groupes d’utilisateurs et continuerons à travailler avec Disconnect pour améliorer et élargir l’ensemble des domaines bloqués par Firefox. Nous prévoyons d’activer ces protections par défaut pour tous les utilisateurs de Firefox dans une prochaine version ;».

Source : Mozilla, Page de téléchargement

Et vous ?

Qu’en pensez-vous ?

Voir aussi

Mozilla teste la fonctionnalité Time Travel Debugging sur Firefox Nightly : un outil de développement Web pour faciliter les opérations de débogage
Après Chrome et Edge, Firefox Nightly permet lui aussi de mettre des sites en sourdine, lorsqu'ils lancent automatiquement des contenus multimédia
Mozilla lance une extension Firefox pour isoler Facebook dans un conteneur afin d'empêcher le réseau social de vous pister sur les autres sites
Mozilla sort une fonctionnalité expérimentale permettant de bloquer les publicités dans Firefox, la fondation attend les retours afin de la valider
8  0 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web