Mozilla Firefox 85 a été publié avec une couche de protection contre les supercookies pour empêcher aux traceurs cachés de suivre l'activité des utilisateurs de Firefox lorsqu'ils naviguent sur Internet. Les utilisateurs desktop Windows, Mac et Linux peuvent passer à Firefox 85 en accédant à Options -> Aide -> À propos de Firefox. Le navigateur recherchera automatiquement la nouvelle mise à jour et l'installera lorsqu'elle sera disponible.
En mars 2016, la FCC a frappé Verizon avec une amende de 1,35 million de dollars pour avoir suivi les clients avec un en-tête d’identification unique (UIDH), également connu sous le nom de « supercookie ».
Un cookie est un petit morceau de code qui est téléchargé dans le navigateur d’un utilisateur lorsqu’il visite un site Web. Le cookie stocke de petites informations utiles au site Web, à l’utilisateur et aux interactions entre les deux. Par exemple, lorsque vous placez des articles dans votre panier Amazon, ces articles sont stockés dans un cookie. Si vous quittez Amazon, à votre retour, vos articles restent dans votre panier. Le cookie renvoie ces informations à Amazon lorsque vous revenez sur le site.
Les cookies réguliers remplissent également d’autres fonctions, comme informer un site Web que vous êtes déjà connecté, vous n’avez donc pas besoin de vous reconnecter à votre retour. Plus controversé, les cookies de suivi tiers vous suivent sur Internet, signalant au marketing et à d’autres entreprises ce que vous faites en ligne.
Avec un cookie régulier, si vous ne voulez pas qu’il vous suive sur Internet, vous pouvez effacer vos données de navigation, vos cookies, etc. Vous pouvez bloquer les cookies et les cookies tiers de votre navigateur et supprimer automatiquement les cookies une fois la session de votre navigateur terminée. Vous devez vous reconnecter à chaque site et les articles de votre panier ne seront pas stockés, mais cela signifie également que les cookies de suivi vous suivent plus.
Un supercookie est différent. La suppression de vos données de navigation n’aide pas. En effet, un supercookie n’est pas vraiment un cookie; il n’est pas stocké dans votre navigateur. Au lieu de cela, un FAI insère une information unique à la connexion d’un utilisateur dans l’en-tête HTTP. Les informations identifient de manière unique tout appareil. Dans le cas de Verizon, il a permis le suivi de chaque site Web visité.
En somme, le Unique Identifier Header ou UIDH est une technologie numérique d'identification constituée d'un identifiant unique d'environ 50 lettres, chiffres et symboles qui permet de suivre la navigation sur internet d'un utilisateur. Beaucoup plus efficace que le cookie, elle est mise en place au niveau du fournisseur d'accès à Internet et constitue pour ce dernier un moyen d'établir un profilage de ses utilisateurs à des fins marketing. Cette technologie a été testée par l'opérateur américain Verizon sur son réseau (qui compte près de 123 millions d'utilisateurs) pendant plus de deux ans, à l'insu de ses utilisateurs, sans que ces derniers aient la possibilité de sortir volontairement du programme (opt-out).
Comment Firefox s'y prend ?
Dans un billet de blog, l'éditeur explique :
« Dans Firefox 85, nous introduisons un changement fondamental dans l’architecture réseau du navigateur pour rendre tous nos utilisateurs plus sûrs: nous partitionnons désormais les connexions réseau et les caches en fonction du site Web visité. Les traceurs peuvent abuser des caches pour créer des supercookies et peuvent utiliser des identifiants de connexion pour suivre les utilisateurs. Mais en isolant les caches et les connexions réseau au site Web sur lequel ils ont été créés, nous les rendons inutiles pour le suivi intersites ».
En quoi est-ce que cela est efficace ?
Mozilla précise que :
« Comme tous les navigateurs Web, Firefox partage certaines ressources internes entre les sites Web pour réduire les frais généraux. Le cache d'image de Firefox est un bon exemple: si la même image est intégrée sur plusieurs sites Web, Firefox chargera l'image à partir du réseau lors d'une visite sur le premier site Web et les sites Web suivants vont charger l'image à partir du cache d'images local du navigateur (plutôt que d'effectuer un chargement depuis le réseau). De même, Firefox va réutiliser une seule connexion réseau lors du chargement de ressources de la même partie intégrées sur plusieurs sites Web. Ces techniques visent à économiser la bande passante et le temps d'un utilisateur.
« Malheureusement, certains traceurs ont trouvé des moyens d'abuser de ces ressources partagées pour suivre les utilisateurs sur le Web. Dans le cas du cache d'images de Firefox, un traceur peut créer un supercookie en "encodant" un identifiant pour l'utilisateur dans une image mise en cache sur un site Web, puis en "récupérant" cet identifiant sur un autre site Web en intégrant la même image. Pour éviter cette possibilité, Firefox 85 utilise un cache d'image différent pour chaque site Web visité par un utilisateur. Cela signifie que nous continuons à charger les images mises en cache lorsqu'un utilisateur revisite le même site, mais que nous ne partageons pas ces caches entre les sites.
« En fait, il existe de nombreux traceurs de caches différents dont on peut abuser pour créer des supercookies. Firefox 85 partitionne tous les caches suivants par le site de niveau supérieur visité: cache HTTP, cache d'image, cache favicon, cache HSTS, cache OCSP, cache de feuille de style, cache de polices, cache DNS, cache d'authentification HTTP, cache Alt-Svc et cache de certificat TLS.
« Pour protéger davantage les utilisateurs contre le suivi basé sur les connexions, Firefox 85 partitionne également les connexions groupées, les connexions de prélecture, les connexions de préconnexion, les connexions spéculatives et les identifiants de session TLS.
« Ce partitionnement s'applique à toutes les ressources tierces intégrées sur un site Web, indépendamment du fait que Firefox considère que cette ressource a été chargée à partir d'un domaine de suivi. Nos métriques montrent un impact très modeste sur le temps de chargement des pages: entre une augmentation de 0,09 % et 0,75 % au 80e centile et en dessous, et une augmentation maximale de 1,32 % au 85e centile. Ces impacts sont similaires à ceux signalés par l'équipe Chrome pour des protections de cache similaires qu'elle envisage de déployer.
« Le partitionnement systématique du réseau empêche les trackers de contourner les fonctionnalités anti-tracking de Firefox, mais nous avons encore du travail à faire pour continuer à renforcer nos protections. »
Autres nouvelles fonctionnalités et modifications de Firefox 85
La nouvelle version de Firefox est également l'occasion de mettre définitivement fin au support de Flash d'Adobe. Rappelons que Flash a atteint sa fin de vie le 1er janvier 2021, après avoir représenté un risque de sécurité constant au fil des ans. Adobe affiche des alertes sur les ordinateurs Windows conseillant aux utilisateurs de désinstaller « immédiatement » Flash Player de leurs systèmes et a supprimé toutes les pages de téléchargement de Flash Player de ses sites Web. À partir de cette version de Firefox, aucun paramètre n'est disponible pour les utilisateurs qui souhaitent réactiver la prise en charge de Flash.
Du côté des nouveautés d'utilisation, le gestionnaire de mots de passe permet de supprimer tous les identifiants et mots de passe enregistrés en un clic. Pour les marque-pages, Firefox se souvient désormais de l'emplacement favori pour les marque-pages enregistrés, affiche par défaut la barre personnelle sur les nouveaux onglets et facilite l'accès aux marque-pages via un dossier dans la barre personnelle.
Télécharger Firefox
Source : blog Firefox, note de version
Firefox 85 débarque avec le blocage des supercookies, la suppression du support de Flash sans possibilité de réactivation
Et apporte des améliorations au gestionnaire de mots de passe
Firefox 85 débarque avec le blocage des supercookies, la suppression du support de Flash sans possibilité de réactivation
Et apporte des améliorations au gestionnaire de mots de passe
Le , par Stéphane le calme
Une erreur dans cette actualité ? Signalez-nous-la !