Mozilla a annoncé lundi que Firefox 87, dont la sortie est prévue le 23 mars, réduira les informations relatives au chemin d'accès et à la chaîne de requête dans les en-têtes "referer" « pour empêcher les sites de divulguer accidentellement des données sensibles sur les utilisateurs ». À partir de cette version du navigateur, Mozilla a défini par défaut la "Referrer Policy" sur "strict-origin-when-cross-origin". Les utilisateurs de Firefox, n'auront rien à faire pour s’adapter à ce changement, car la nouvelle politique sera par défaut en vigueur dès lors que leur navigateur sera mis à jour automatiquement à la version 87.Mozilla a annoncé son intention de limiter le referer (referrer) que le navigateur Web Firefox envoie lors des requêtes pour toutes les demandes entre origines multiples afin d'améliorer la protection de la vie privée. Les requêtes effectuées par le navigateur Web, par exemple pour charger une page Web, une image, une feuille de style CSS ou une publicité, incluent le referer. Le referer est généralement l'URL que les utilisateurs voient dans la barre d'adresse du navigateur.
Les navigateurs envoient des en-têtes HTTP Referrer aux sites Web pour indiquer quel emplacement a "référé" un utilisateur aux serveurs de ces sites Web. Les URL complètes des documents d’origine sont souvent envoyées dans l'en-tête HTTP Referrer avec d'autres demandes de sous-ressources et, bien qu'elles puissent contenir des informations innocentes utilisées à des fins notamment analytiques, des données privées de l'utilisateur peuvent également être incluses.
Il peut révéler les articles qu'un utilisateur est en train de lire sur le site Web référent, ou même inclure des informations sur le compte d'un utilisateur sur un site Web, ont écrit le développeur Dimi Lee et le responsable de l'ingénierie de l'infrastructure de sécurité Christoph Kerschbaumer dans un billet de blog publié ce lundi.
« L'introduction de la referrer policy dans les navigateurs en 2016-2018 a permis aux sites Web d'avoir un meilleur contrôle sur les valeurs du referer sur leurs sites, et donc de fournir un mécanisme pour protéger la vie privée de leurs utilisateurs », lit-on dans le billet. Les referrer Policies visent à protéger ces données, mais si aucune politique n'est définie par un site Web, la valeur par défaut est souvent "no-referrer-when-downgrade", un élément qui, selon Firefox, réduit le referer lors de la navigation vers une ressource moins sécurisée, mais « envoie toujours l'URL complète, y compris le chemin et les informations de requête du document d'origine comme referer ».
Une nouvelle politique pour offrir « une expérience de navigation nettement plus privée »
À partir de Firefox 87, Mozilla rogne automatiquement le referer pour toutes les requêtes entre origines multiples, par exemple les requêtes du site A vers le site B. Le site B ne connaît plus la page exacte d'où provient la demande, et d'autres informations, comme les requêtes de recherche, ne sont plus divulguées non plus au site. Au lieu de soumettre le referer complet, par exemple, seul le nom de domaine est soumis. En termes techniques, Firefox passe de la referrer policy "no-referrer-when-downgrade" à "strict-origin-when-cross-origin".
« La politique 'no-referrer-when-downgrade' est une relique du Web du passé, quand on pensait que la navigation Web sensible se faisait sur des connexions HTTPS et qu'en tant que telle, elle ne devait pas fuir les informations dans les requêtes HTTP », explique l'équipe Firefox. « Le Web d'aujourd'hui est bien différent : il est en passe de devenir exclusivement HTTPS et les navigateurs prennent des mesures pour limiter les fuites d'informations sur les sites Web. Il est temps de modifier notre referrer policy par défaut en fonction de ces nouveaux objectifs ».
« À partir de Firefox 87, nous avons défini la referrer policy par défaut sur "strict-origin-when-cross-origin", ce qui réduira les informations sensibles de l'utilisateur accessibles dans l'URL. Comme l'illustre l'exemple ci-dessus, cette nouvelle referrer policy plus stricte n'éliminera pas seulement les informations relatives aux requêtes allant de HTTPS à HTTP, mais aussi les informations relatives au chemin et à la requête pour toutes les requêtes entre origines multiples. Avec cette mise à jour, Firefox appliquera la nouvelle referrer policy par défaut à toutes les demandes de navigation, les demandes redirigées et les demandes de sous-ressources (image, style, script), offrant ainsi une expérience de navigation nettement plus privée ».
Le changement est effectué silencieusement en arrière-plan pour tous les utilisateurs de Firefox 87 ou d'une version plus récente.
Ce changement est encore une autre étape pour Firefox dans son processus d’amélioration de la vie privée. Il y a un mois, Firefox a annoncé la protection totale des cookies, une autre avancée majeure en matière de confidentialité dans Firefox intégrée au mode strict ETP. La protection totale des cookies limite les cookies au site sur lequel ils ont été créés, ce qui empêche les sociétés de suivi d'utiliser ces cookies pour suivre votre navigation de site en site.
Dans un billet de blog publié le 23 février, l’équipe Firefox a écrit : « Les cookies, ces morceaux de données bien connus que les navigateurs Web stockent au nom d'un site Web, sont une technologie utile, mais aussi une grave vulnérabilité en matière de confidentialité. En effet, le comportement dominant des navigateurs Web permet aux cookies d'être partagés entre les sites Web, permettant ainsi à ceux qui vous espionneraient de "marquer" votre navigateur et de vous suivre pendant que vous naviguez. Ce type de suivi basé sur les cookies a longtemps été la méthode la plus répandue pour collecter des informations sur les utilisateurs. C'est un élément clé du suivi commercial de masse qui permet aux agences de publicité de créer tranquillement un profil personnel détaillé de vous ».
Google aussi mène ses efforts pour éliminer de son navigateur Chrome les cookies tiers en accord avec sa vision d'un Web « plus privé ». Le géant de la recherche – dans une tentative d'équilibrer son double rôle de développeur de navigateur Web et de propriétaire de la plus grande plateforme publicitaire du monde – a annoncé au début de l'année dernière son intention d'éliminer les cookies tiers dans Chrome au profit d'un nouveau cadre appelé "Privacy Sandbox", qui vise à protéger l'anonymat tout en diffusant des publicités ciblées sans avoir recours à des techniques plus opaques comme les empreintes informatiques. L’une des propositions de Google est le FLoC (Apprentissage fédéré des cohortes), que l’EFF a qualifié d’une idée terrible.
Mais la décision de Google de supprimer les cookies tiers a déjà suscité de multiples poursuites antitrust et une enquête du Congrès américain. Les questions des enquêteurs du ministère américain de la Justice ont porté sur la manière dont les politiques de Chrome, y compris celles liées aux cookies, affectent les secteurs de la publicité et des actualités en ligne.
Source : Mozilla
Et vous ?
Que pensez-vous de cette nouvelle politique de Firefox pour protéger la vie privée ?Voir aussi :
Firefox 86 va apporter Total Cookie Protection, une fonctionnalité visant à améliorer la protection contre le pistage, en conservant un "cookie jar" distinct pour chaque site Web visité Firefox 85 débarque avec le blocage des supercookies, la suppression du support de Flash sans possibilité de réactivation, et apporte des améliorations au gestionnaire de mots de passe Le FLoC de Google est une idée terrible, affirme l'EFF, la nouvelle méthode de pistage visant à remplacer les cookies tiers créerait de nouveaux risques pour la vie privée Google se donne deux ans pour éliminer de son navigateur Chrome les cookies tiers, en accord avec sa vision d'un Web « plus privé » 
