Vendredi 23 novembre 2018 (Modifié le Vendredi 23 novembre 2018)

URL: https://linuxfr.org/news/proteger-sa-vie-privee-sur-le-web-exemple-avec-firefox Title: Protéger sa vie privée sur le web, exemple avec Firefox Authors: Collectif antistress, M5oul, PolePosition, Bruno Michel, Benoît Sibaud, Xinfe, BAud, Stéphane Aulery, aurel, PhiX, Nils Ratusznik, palm123, bolikahult, Pierre Maziere, chdorb, yPhil, Julien.D, mouette, Nÿco, alendroi, Rozé Étienne, Gorta, ariasuni, anaseto, Laurent, _alex, patrick_g, Jiel, Julien Wajsberg, Johann Ollivier-Lapeyre, Xavier Combelle, François, nanoseb et DL Date: 2015-05-03T23:12:41+02:00 License: CC by-sa Tags: firefox, extension, publicité, traçabilité, guide, tutoriel et navigation Score: 24

Un internaute peut penser que sa navigation sur le web est noyée dans la masse, et que personne ne s’intéresse à la pister, puisqu’elle n’a pas d’importance particulière. C’est le genre de réponse que l’on peut entendre autour de soi quand on tente de sensibiliser au pistage. Ces assertions ne sont malheureusement pas valables. Bien au contraire, le comportement des internautes intéresse beaucoup les grandes sociétés : beaucoup fondent leur modèle économique\^W de fonctionnement dessus, pour refourguer de la publicité au passage qui est leur vrai client payant (vu que c’est gratuit en utilisateur, tu es le produit :/).

À partir des données recueillies, des techniques de manipulation sont appliquées aux internautes comme le [[datamining]], le [[neuromarketing]], le [[biais cognitif]], etc. Ces techniques ont atteint une telle maturité et efficacité qu’il est impossible de ne pas en être victime. Il ne se passe pas une semaine sans que de nouveaux articles paraissent sur de nouvelles techniques. Même être conscient de l’existence de ces biais ne permet pas de s’en protéger directement. Tout cela est l’objet d’une marchandisation monstre dans lequel nous sommes tous plus ou moins victimes. Cet article vise à sensibiliser le lecteur et à proposer des solutions efficaces afin qu’il puisse préserver sa vie privée, son autonomie, son libre arbitre, sa liberté et son indépendance, ou simplement ne pas se faire polluer de pub clignotant à foison sur chaque page consultée.

Ligtbeam-extremum


« Do Not Track », une série documentaire consacrée à la vie privée et à l’économie du Web « Vos traces », documentation CNIL pour internautes « Comment mettre mon site web en conformité », documentation CNIL pour responsables de sites Rapport 2014 de la CNIL (v. les pages 16 à 23 de ce 35è rapport annuel de la CNIL) Gary Kovacs : Tracking our online trackers (Vidéo TED) Web Browser Security — BrowserLeaks.com Voici à quoi ressemble l’Internet d’un hyper prudent (slate.fr) Reprenez le contrôle de vos données (controle-tes-donnees.net) Alessandro Acquisti : Pourquoi le respect de la vie privée est important (Vidéo TED) Guide d’autodéfense numérique T2 « Firefox, sécurité et vie privée » (Léa-Linux) Les résolutions pour 2018 de NoNo (LinuxFr.org) “Nothing to Hide”, documentaire sur les atteintes de la vie privée sur internet (VOSTFR)


Définition

Le pistage est la collecte silencieuse de données lors des activités en ligne des consommateurs, et leur accumulation, aux fins d’établir les profils de ces consommateurs de la manière la plus complète possible en vue de personnaliser les publicités affichées.

Connaître les centres d’intérêts, les goûts, les opinions, les désirs, les préoccupations ou les inquiétudes des consommateurs, bref leurs pensées intimes, est un prérequis au ciblage publicitaire.

En quoi le pistage est-il un problème pour les internautes ? Y compris pour ceux qui prétendent n’avoir rien à cacher.

Les entreprises qui pistent la navigation des internautes réalisent des modèles de comportement et des analyses très poussées. Les personnes n’ayant soi-disant « rien à cacher » sont victimes de manipulations. Et, par définition, la manipulation oblige la personne à effectuer une action (achat ?) qu’elle n’aurait pas faite sans ladite manipulation. Tout cela est insidieux, puisque la personne a l’impression d’agir selon sa propre volonté, alors que cette volonté fut guidée !

Sans tomber dans la paranoïa, une citation de Snowden vaut le détour :

Le fait de dire qu’on se fout de la vie privée parce qu’on a rien à cacher revient à dire qu’on se fout de la liberté d’expression parce qu’on a rien à dire.

Récupération de données

Un nombre impressionnant de sites web commerciaux pistent des internautes, que ce soit pour connaître la fréquentation du site, analyser le parcours des internautes sur le site, ou pour maximiser les ventes en suggérant d’autres produits que ceux recherchés à l’origine par l’utilisateur. Qui ne s’est jamais vu suggérer un produit sur Amazon, suite à la recherche ou la commande d’un autre produit ? Qui n’a jamais reçu de publicité ciblée suite à une recherche comme « Nikon D300s » sur un site web ?

Ceci fait suite à la récupération des mot-clefs de recherches sur Internet ou des pages visitées.

En effet, beaucoup de sites web comportent des web bugs (en français : [[pixel espion]] ou pixel invisible) ou des scripts JavaScript qui envoient des données à, par exemple, [[Criteo]] qui est l’une des plus grosses sociétés de reciblage publicitaire. Cette société (cotée au NASDAQ, ce qui montre l’ampleur de son business) affiche ensuite des publicités ciblées, sur l’un des sites web que vous visitez ensuite.

Et c’est là que réside toute leur force : imaginez que toutes les pages (on va dire toutes, pour simplifier le raisonnement) de chaque site web au monde envoient des données à Criteo. Ces données sont du type : quelle empreinte (empreinte numérique de navigateur ou [[canvas fingerprinting]] en anglais), quelles ont été les pages visitées, quels liens furent cliqués.

Ce sont des dizaines de gigaoctets de données que reçoit chaque jour Criteo. Cette omniprésence lui permet d’être efficace et donc d’avoir un pouvoir de manipulation redoutable.

Analyse, traitement

Les sites qui mettent en place des publicités envoient les données récupérées aux régies publicitaires. Les régies sont donc en mesure de savoir quels noms de domaines vous intéressent en fonction des sites et des pages et des articles commerciaux que vous visitez. Mais le ciblage des publicités ne s’arrête pas là, puisque les périphériques que vous utilisez pour naviguer sur le web sont également pris en compte.

Beaucoup de personnes pensent que les publicitaires ne s’intéressent pas à l’identité de l’internaute. Et ils ont raison. Ce n’est pas qui vous êtes qui est utile, mais plutôt quel type de personne vous êtes. Vous êtes jeune ou plutôt la cinquantaine ? Vous avez les moyens ? Vous êtes un homme ? Une femme ? Tous ces critères permettent de mieux cibler le consommateur pour augmenter les chances que la publicité proposée lui soit pertinente.

Quelques liens :

Florilège non exhaustif de techniques de pistage

Voici différentes techniques de récupération des données des internautes couramment utilisées, le plus souvent de manière cumulative.

Ces techniques ont toutes pour point commun d’introduire subrepticement des tiers dans la relation entre l’internaute et le site web qu’il choisit de consulter. Elles ont donc toutes pour effet de déclencher à l’insu de l’utilisateur des requêtes de son navigateur vers des sites tiers.

Lors de la visite d’un site, des données sont récupérées par les sites tiers. Ces requêtes peuvent être utilisées afin d’analyser la fréquentation du site, d’afficher un contenu multimédia, d’afficher des boutons de partage comme ceux de Facebook, des bibliothèques web qui permettent par exemple d’afficher le texte de la page dans une belle police de caractère.

Par exemple, [[Google analytics]] qui est un outil gratuit qui permet d’analyser l’audience des sites web. Cet outil détient 80 % du marché mondial, ce qui lui donne le pouvoir de pister tous les internautes qui visitent les sites qui utilisent ce service.

Quelques exemples des pratiques de Google et Facebook.

Les pratiques traditionnelles de pistage sont basées sur les cookies HTTP et l’adresse IP. Mais, depuis, de nombreuses autres techniques ont été développées à cet effet.

Les cookies HTTP

Les cookies (ou plus simplement des données) sont stockés sur la machine de l’internaute pour améliorer l’expérience utilisateur. Les cookies peuvent contenir l’identifiant de l’utilisateur, la langue qu’il a choisie, stocker le contenu d’un panier d’achat électronique… Cependant, ces informations permettent aussi de le pister.

Les cookies Flash

Le greffon Flash Player utilise son propre système de cookies appelés LSO (Local Shared Objects, ou objet local partagé en français) et surnommés « super cookies ».

Cf. Objets partagés par Adobe Flash localement, les objets locaux partagés

Les scripts JavaScript

Dans les pages web sont inclus des scripts, souvent du JavaScript. Ces scripts s’exécutent au sein du navigateur (côté client et non du côté serveur, qui peuvent donc potentiellement envoyer des données à des serveurs). Ces scripts peuvent être vraiment utiles étant donné qu’ils apportent beaucoup de fonctionnalités très appréciables. Par exemple, un site web peut demander au navigateur quelle est la résolution de l’écran, quelles sont les polices de caractères installées. Ceci permet d’afficher le contenu de la page correctement. Le site web peut également demander au navigateur de s’identifier (Internet Explorer, Firefox, etc., c’est ce qui s’appelle le [[User-Agent]]. Ceci permet de s’assurer que la page web s’affiche bien. Par exemple, si la page web comporte des formules [[MathML]], et que le navigateur web ne gère pas bien l’affichage, le serveur peut décider d’envoyer une image représentant la formule mathématique.

Les services incorporés

Ces services peuvent être incorporés par n’importe quel [[webmestre]] dans des pages web de son site pour leur apporter une fonctionnalité. Ce sont principalement les services de Google qui traquent : [[Google Maps]], [[Google Analytics]], [[YouTube]], bouton de partage [[Google +]], la publicité avec [[AdSense]], [[Google translate]] qui permet de traduire le site dans votre langue, polices hébergées, APIs, scripts JavaScript. Il y a aussi d’autres régies publicitaires, Facebook et Twitter avec les boutons « Like ».

Les pixels invisibles

Les pixels espion, pixels invisibles ou encore web bugs en anglais, sont présents dans les sites web. Cette technique permet de pister en déposant un cookie lors de la visite d’un site A et de le récupérer lors de la visite d’un site B.

Balise-entité ETag HTTP

La [[balise-entité ETag HTTP]] permet une gestion intelligente du cache du navigateur : au fichier adressé au navigateur (page web, image…) va être joint son empreinte : si l’empreinte du fichier demeure inchangée lors d’une prochaine visite, le navigateur n’aura pas à récupérer ce fichier à nouveau et pourra le servir à partir de son cache.

Le système peut être détourné aux fins de pistage de l’internaute : si le serveur est configuré pour attribuer à chaque navigateur un ETag unique, il lui suffit de consulter sa base de données lorsqu’un navigateur se reconnecte pour le reconnaître.

Même si vous désactivez les cookies, le JavaScript et utilisez un VPN, cette technique permet de vous pister.

Pour éviter cela : une fenêtre de navigation privée permet d’éviter le pistage par le cache du navigateur, random agent spoofer.

Stockage web local (ou stockage DOM)

La fonction de stockage local faisait partie initialement de la norme HTML5, avant de prendre son indépendance. Sans entrer dans la technique, considérez également cela dans le cadre de cette dépêche comme des super cookies (grande capacité de stockage, persistance).

L’URL

L’URL peut être utilisée comme véhicule d’informations aux fins de pister l’utilisateur. Un identifiant de campagne lui est alors adjoint (commençant typiquement par utm= ou xtor= par exemple) suivi de différents paramètres qui serviront à connaître par exemple la provenance du lien. Google Analytics, Feedburner et d’autres y ont recours.

NB : ces pratiques sont réglementées par la CNIL.

Le référent HTTP

Le référent (ou referer en anglais) est une information transmise au site qu’il visite, lui indiquant l’URL de la page où se situe ce lien qu’il a suivi. Cela permet aux webmestres de faire des analyses d’où proviennent ses visiteurs. Par exemple le serveur ajax.googleapis.com fait usage du référent HTTP pour connaître la page visitée lorsqu’une requête lui est adressée.

À noter qu’à partir de la version 59 de firefox, dans les pages de navigation privée, il est prévu que le référent transmis se résumera au seul nom de domaine (l’URL entière sera masquée).

L’adresse IP

L’adresse IP permet de géolocaliser l’internaute avec la [[GeoIP]], d’écouter le trafic IP avec une attaque de l’homme du milieu ou avec un accès aux logs de différents serveurs.

IPv4

L’adresse IP publique permet le pistage lorsque que l’on a une adresse IP fixe. Avec une adresse IP dynamique, le pistage est un peu plus dur. Si l’on est plusieurs utilisateurs derrière la même adresse IP publique cela permet de brouiller le pistage.

IPv6

Un des inconvénients connus d’IPv6 est le fichage du trafic des ordinateurs particuliers pour le pistage. En effet, une des propriétés du protocole NAT était d’utiliser une seule adresse IPv4 publique pour plusieurs appareils, ce qui rendait plus difficile le fichage des utilisateurs, puisque plusieurs d’entre eux utilisaient la même adresse pour se connecter à Internet.

Il faudrait donc veiller à ce que les clients du réseau changent d’adresse IP publique pour rendre le fichage plus difficile. Il pourrait changer à travers le temps et selon le réseau auquel il se connecte.

Détails et solution dans la dépêche Garder sa vie privée avec IPv6.

Pistage DNS

Pour pouvoir accéder à un site, via son [[nom de domaine]], il faut connaître son adresse IP. C’est la résolution DNS qui s’occupe de ça. Elle consiste à demander au résolveur DNS quelle est, par exemple, l’adresse IP de fr.wikipedia.org. Ce dernier va retourner l’adresse IP qui permettra d’accéder à Wikipédia.

Notre connexion réseau est par défaut configurée pour que l’on utilise le résolveur DNS de notre fournisseur d’accès à Internet. Le problème étant que le résolveur DNS a connaissance des sites que l’on consulte. Si de plus en plus de personnes font de l’auto-hébergement, à savoir que chaque internaute ait son nom de domaine, il devient de plus en plus facile de connaître les personnes avec lesquelles on communique que ça soit via la messagerie instantanée ou le courrier électronique.

L’empreinte numérique

L’empreinte numérique (fingerprinting en anglais) est l’identité du navigateur web utilisé, sa version, le système d’exploitation et sa version. Ces informations sont envoyées aux sites que l’on visite afin de permettre au site de nous envoyer un contenu adapté à notre navigateur et notre système d’exploitation.

cf Web Browsers Leave ‘Fingerprints’ Behind as You Surf the Net

Le onboarding

Le onboarding consiste à pister les internautes aussi bien en ligne que hors ligne, à partir de leur véritable identité, via leur adresse mail : il suffit que le magasin « en dur », à qui vous venez de révéler votre adresse électronique, communique ces éléments en ligne à un site de pistage pour que celui-ci vous étiquette aux fins de pistage lorsque vous saisirez à nouveau votre adresse mail auprès d’un site partenaire (lire ici). Le déploiement de mouchards numériques dans le monde analogique (qu’il s’agisse du smartphone que vous avez en poche ou des capteurs dédiés qui sont en train d’être déployés) crée un pont entre les mondes analogiques et numériques permettant le traitement automatisé et croisé des données pour un pistage total.

Le VPN

Et la palme du pistage le plus agressif revient à Facebook. Facebook a récemment intégré un VPN qui lui sert à espionner ces utilisateurs.

Comment se protéger ?

Deux formes de pistage sont possibles :

  • par le fournisseur du service en ligne que vous utilisez (en anglais : first party) ;
  • par des tiers (third party).

online tracking

Pistage par le fournisseur du service utilisé

Admettons que vous décidiez d’utiliser un moteur de recherche sur le web (par exemple Google Search), un webmail (au hasard Gmail), un site hébergeant des vidéos de tierces personnes (pourquoi pas YouTube), un site de cartographie (disons Google Maps), un site de réseau social (Facebook ?), un site hébergeant des blogues de tierces personnes (Blogger me vient à l’esprit), etc. (Jeu gratuit : un intrus est caché dans la liste précédente, saurez-vous le trouver ?)

Si ce service est (soi-disant) gratuit et tenu par une entité commerciale, soyez à peu près certain que son fournisseur est le premier à vous épier lors des activités en ligne que vous menez sur son site, et à consigner minutieusement ces infos pour en faire un usage commercial. S’il ne sait pas le faire lui-même, il le fera faire par un tiers (lire le paragraphe suivant : « pistage par des tiers »).

geek & pote - pigs and the free_model - FR

Notez qu’il est acquis que les sociétés qui offrent des services pour lesquels vous êtes amenés à saisir du texte (moteur de recherche, réseau social…) consignent ce que vous écrivez au moment où vous l’écrivez, peu importe que vous décidiez au final de valider votre texte ou de l’effacer (ayez à l’esprit que ce que vous n’avez pas osé valider a encore plus de valeur pour qui désire vous connaître le plus intimement possible).

Il vous appartient en premier lieu de limiter le pistage de votre comportement sur la toile en évitant ces sites qui recueillent discrètement vos données personnelles en contrepartie du service « offert » et, lorsque ce n’est pas possible ou facile, en diversifiant le plus possible les fournisseurs de service pour limiter l’accumulation et le croisement de vos données personnelles.

Néanmoins les techniques de protection ci-dessous peuvent être plus ou moins efficaces dans cette hypothèse, à condition toutefois que vous n’ayez pas créé un compte auprès des sociétés qui fournissent ces services : auquel cas vous êtes évidemment parfaitement identifié si vous êtes connecté avec ce compte (attention aux sociétés qui dirigent plusieurs services : par exemple si vous utilisez l’interface web de Gmail, sachez que vous restez connecté et donc identifié auprès de Google lorsque vous faites ensuite une recherche sur Google Search, ce qui permet à Google d’alimenter pleinement le dossier qu’il tient sur vous. La même chose est valable pour Yahoo! et Yahoo! Mail, et, côté Microsoft, pour Outlook et Bing).

Terminons avec un fournisseur du service un peu particulier : votre Fournisseur d’Accès à Internet (FAI) , qui voit toutes vos connexions et toutes vos communications. Les conseils en ce cas sont : recours à un fournisseur d’accès à internet associatif (v. la Fédération des Fournisseurs d’Accès à Internet Associatifs, dite Fédération FDN), au chiffrement, à Tor ou à un VPN. Rappelons que, selon le droit français (et contrairement au droit européen), les FAI (et toutes « personnes qui, au titre d’une activité professionnelle principale ou accessoire, offrent au public une connexion permettant une communication en ligne par l’intermédiaire d’un accès au réseau, y compris à titre gratuit »), pour les besoins de l’enquête judiciaire, doivent conserver pendant un an les données de connexion.

Pistage par des tiers

Dans ce cas, vous ne savez même pas que des sociétés parviennent à vous suivre de site en site pour collecter des données qui vous sont personnelles (vos goûts, habitudes, intérêts, opinions, etc.) ni qui elles sont (et elles sont très nombreuses). Cette forme de pistage revient à installer des caméras en douce chez vous pour espionner vos habitudes. Nous vous proposons ici des techniques de protection, c’est-à-dire de débrancher les caméras indiscrètes de votre domicile.

Et Mozilla réalisa que Firefox devait jouer un rôle actif contre le pistage

De mon point de vue, la prise de conscience du rôle actif que devait jouer Mozilla sur ces questions est tout à fait récente. En effet, Mozilla s’en est longtemps remis à son écosystème d’extensions tierces pour traiter cette question. Par ailleurs j’avais noté qu’il n’existait pas de département « vie privée » chez Mozilla, mais seulement « sécurité et vie privée » ; or lorsque deux portefeuilles sont regroupés dans un seul, c’est toujours au préjudice de l’un des deux.

Fidèle à son ADN (le pari de l’éducation et de la responsabilisation des acteurs), Mozilla s’était dans un premier temps engagé sur la question en faisant, début 2011, la promotion et l’évangélisation de bonnes pratiques à travers l’initiative Do Not Track (un réglage du navigateur qui traduit la demande de l’utilisateur de ne pas être pisté, intégré à la version 4 de Firefox sortie début 2011 et présent aujourd’hui dans la plupart des navigateurs). Cette initiative, activement promue par Mozilla auprès des éditeurs de sites et des annonceurs avec quelque réussite, respectée par Twitter par exemple, a été torpillée par Microsoft, donnant aux Yahoo!, Facebook et Google le prétexte attendu pour ne pas respecter ce réglage. Cette liste ne serait pas complète sans Mozilla qui ne respecte pas non plus cette option…

Mais la prise de conscience de Mozilla qu’il ne pouvait plus rester neutre dans cette bataille et qu’il fallait dorénavant donner le pouvoir à l’utilisateur sur ces questions coïncide avec le lancement, en 2012, de l’extension Lightbeam (alors nommée Collusion) qui produit un graphique de toutes les connexions effectuées par le navigateur à des sites, en mettant en évidence leurs liens (lire ici).

Début 2013, Mozilla annonce que Firefox va bloquer par défaut les cookies tiers (à l’occasion de la version 22), décision qu’il décidera d’abandonner peu après pour deux raisons : les faux positifs (bloquer des cookies tiers qui n’en sont pas – comme lorsqu’un site a plusieurs domaines) et les faux négatifs (accepter des cookies first party qui servent à pister). La nouvelle orientation est donc de chercher une contre-mesure qui soit plus granulaire.

Annonce fin 2014 de l’initiative Polaris pour chapeauter un travail partenarial sur les questions de la vie privée sur le Web. Les chantiers actuels sont : contribuer au projet Tor (comme premier résultat Mozilla fournit dorénavant des relais Tor ; en outre Mozilla travaille avec les membres du projet Tor à intégrer les patchs qu’ils appliquent à Firefox pour réaliser leur navigateur sécurisé) ; implémenter dans Firefox une protection contre le pistage.

Cette protection contre le pistage (enfin !) consiste à bloquer les requêtes HTTP en direction des domaines connus pour pister les internautes au moyen d’une liste noire empruntée à l’extension Disconnect. Par défaut, elle n’est pas active, elle est même cachée pour le moment (sauf dans les dernières versions de Firefox où il est possible de l’activer via l’onglet « Vie privée » des préférences du navigateur, mais seulement pour le mode particulier de navigation privée). Une page dédiée vous explique comme l’activer dans le mode de navigation normale, mais le plus simple est de l’activer par le bouton « TRACKING PROTECTION » que fournit Lightbeam.

Pour être complet il faudrait encore citer l’intégration, fin 2014, de DuckDuckGo comme moteur de recherche alternatif supplémentaire dans la barre d’adresse.

Enfin rappelons que, contrairement aux autres navigateurs, la fonctionnalité intégrée de protection contre les sites web malveillants (Safe Browsing) de Firefox est conçue pour éviter les requêtes vers l’extérieur qui pourraient en révéler trop sur votre vie privée (Firefox télécharge une liste qu’il consulte en local, entre autres précautions).

Adopter un comportement prudent

  • Il peut être judicieux d’utiliser plusieurs profils différents pour isoler vos navigations, par exemple un pour votre surf quotidien, un pour vos besoins demandant davantage de sécurité, et un dernier profil « jetable ».

Cf jongler entre plusieurs profils dédiés

Modification de la configuration par défaut

  • une page sur mozilla.org liste les modifications à faire pour empêcher Firefox d’établir automatiquement des connexions sans la permission de l’utilisateur. La version en anglais est plus à jour.
  • Désactiver les cookies tiers, dans l’onglet Privacy > History > custom settings, never accept third-party cookies ;
  • Désactiver la géolocalisation: about:config geo.enabled -> false ;
  • Désactiver la connexion silencieuse lors du survol d’un lien: about:config network.http.speculative-parallel-limit -> 0
  • Désactiver le préchargement des liens: network.prefetch-next -> False
  • Désactiver le WebRTC (qui lorsqu’il est activé peut faire fuiter votre adresse IP, cf. ici) : media.peerconnection.enabled -> false;
  • Désactiver Hello qui se connecte aux serveurs de Telefonica sans votre permission. loop.enabled -> false
  • Désactiver « block reported attack sites and web forgeries », dont l’activation peut entrainer des fuites vers les serveurs de Mozilla.
  • Désactiver les suggestions de recherches. Celles-ci sont envoyées au moteur de recherche, les suggestions basées sur les données locales fonctionnent toujours. browser.search.suggest.enabled -> false (ou en passant par l’interface comme indiqué ici) ;
  • Désactiver les polices Google. Dans les Préférences > Vie Privée > Exceptions. Bloquez les domaines suivants: googleapis.com, gstatic.com, apis.google.com

Pour ceux qui veulent aller plus loin, ghack-user.js est une excellente source.

Protections pour limiter le pistage

Voici des protections pour limiter le pistage sur le web. Elles sont classées par ordre croissant d’efficacité, de difficulté à maîtriser l’outil, de contrainte et de détérioration du bon affichage du site.

La protection principale contre le pistage consiste en un mécanisme empêchant les connexions de s’établir vers des sites tiers à la demande du site visité. De cette façon les sites tiers ne pourront rien enregistrer si votre navigateur ne les contacte pas (bonus : vous économisez la bande passante et les ressources de votre CPU). C’est le mécanisme mis en œuvre dans la protection contre le pistage embarquée dans Firefox (non active par défaut), ou encore par les extensions telles que Privacy Badger, Disconnect, uBlock Origin ou encore RequestPolicy Continued (voir ci-après le descriptif de chacune d’elle). Il est également important d’éviter de recourir aux plugins (comme Flash, Java ou Silverlight) : ceux-ci peuvent ouvrir des connexions à l’insu du navigateur ce qui rend difficile leur blocage.

Protections efficaces et peu exigeantes

Une fois mises en place, ces protections se font oublier :)

Configuration de Firefox

Ces protections sont possibles par Firefox avec le bon réglage (parfois il existe une extension qui permet d’appliquer le bon réglage automatiquement) :

  • Désactiver la transmission du référent : par les options de configuration de Firefox (cf. http://b.agilob.net/better-security-privacy-and-anonymity-in-firefox/) ou par une extension (par exemple Smart Referer n’autorise l’usage du référent que sur le site courant).

Extensions pour Firefox

Ces protections sont disponibles sous forme d’extensions :

  • Ne pas être authentifié sur un moteur de recherche ;

##### HTTPS Everywhere

HTTPS Everywhere (sous licence GPL version 2+) a été présenté en juin 2010 par l’EFF et s’appuie sur l’implémentation STS de NoScript. Il force la connexion chiffrée dans le cas où le site le permet. Cela évite deux choses : d’une part que le contenu transféré puisse être lu par ceux qui les intercepteraient, d’autre part que ce contenu puisse être modifié par ces mêmes personnes. En revanche, et comme le rappelle la FAQ, l’identité du site accédé (et même généralement l’adresse complète de la page accédée) voyage en clair, sauf à coupler HTTPS Everywhere avec Tor.

Privacy Badger

Privacy Badger (sous licence GPL version 3+) a été présenté en juillet 2014 par l’EFF et est sortie en version 1.0 en août 2015. Reprenant le code de ShareMeNot (qui lui permet de remplacer les boutons bavards des réseaux sociaux par des versions muettes reconnaissables au logo de l’extension apposé dessus) et s’appuyant sur celui d’AdBlockPlus, Privacy Badger pourrait avoir pour slogan « pister les pisteurs » : en effet, Privacy Badger ne fonctionne pas à partir d’une liste toute faite de sites à bloquer (liste noire) mais utilise un algorithme pour détecter dynamiquement des comportements de pistage par des sites tiers. Cette approche heuristique présente deux avantages : actualité (par la technique de l’[[apprentissage automatique]] la contre-mesure est toujours à jour), impartialité (pas de pressions tierces concernant le contenu d’une liste centralisée pré-établie).

Lorsque vous vous rendez sur un site, votre navigateur charge automatiquement des contenus de différents sites tiers : Privacy Badger recense ces sites. Puis, si au cours de vos pérégrinations en ligne ultérieures, les mêmes sites semblent pister votre navigation sans votre autorisation, alors Privacy Badger entre en action en demandant à votre navigateur de les bloquer. Et comme votre navigateur ne charge plus rien en provenance de ces sites, ils ne peuvent plus vous pister. Pour ces sites, c’est comme si vous aviez disparu.

En revanche Privacy Badger dispose d’une liste blanche de sites tiers auxquels la connexion semble nécessaire pour ne pas casser des fonctionnalités des sites. En ce cas Privacy badger acceptera les contenus de ces sites mais éliminera leurs cookies.

Vous pouvez contrôler ou modifier l’action de l’extension à tout moment en cliquant sur son bouton pour faire apparaître la liste des sites tiers reliés au site courant grâce à un système de curseurs à trois positions : vert signifie que le site tiers ne semble pas vous pister (cette information est réévaluée au fur et à mesure de votre surf par l’algorithme de l’extension : au départ tous les curseurs sont au vert) ; rouge, qu’il vous piste ; jaune, qu’il vous piste mais, s’agissant d’un site de la liste blanche, les contenus seront chargés mais les cookies supprimés (c’est un compromis). Attention : une fois qu’un réglage a été modifié par l’utilisateur, celui-ci reste en mode manuel pour le site concerné et Privacy Badger ne l’examine plus ; une flèche d’annulation apparaît toutefois à côté d’un réglage modifié pour permettre sa réinitialisation, et à l’algorithme de reprendre ainsi la main.

Dernier tour de passe-passe : avec cette extension, l’EFF veut contraindre les sites à respecter l’entête HTTP [[Do Not Track]]. Lorsqu’un site s’y engage conformément à la spécification, alors celui-ci n’est plus bloqué par Privacy Badger, laissant la décision de blocage à l’utilisateur via l’option Do Not Track du navigateur.

Enfin, des contre-mesures au relevé d’empreinte numérique (canvas fingerprinting) et contre les supercookies sont d’ores et déjà intégrées. D’autres contre-mesures sont à l’étude, comme la substitution à la volée de scripts hébergés sur des serveurs tiers pour bloquer davantage de sites tiers sans casser les sites visités. À noter que Google Analytics échappe pour le moment à l’algorithme, il faudra donc pour le moment penser à le bloquer manuellement à l’aide du système de curseurs évoqué ci-dessus.

NB : Depuis la version 1.0 de Privacy Badger, l’extension peut-être installée en même temps que Self-Destructing Cookies, sans conflit.

  • Remove Google Tracking ; (comparer avec d’autres : Clean Links, Pure URL…) ;

  • RedirectCleaner nettoie les liens sur lesquels vous cliquez lorsque ces derniers essaient de pister une redirection vers un autre site, avec une URL en clair ;

  • Si [[Adobe Flash Player]] est installé, Better Privacy bloquera les cookies Flash de type LSO. Et si l’installation d’une extension spécifique vous agace, tapez ces commandes dans votre $HOME pour empêcher le stockage de ces cookies :
    rm -rf ~/.adobe ~/.macromedia
    ln -s /dev/null ~/.adobe
    ln -s /dev/null ~/.macromedia
    
  • uBlock Origin (ou uBlock₀ ou encore uBO) est un bloqueur de requêtes qui se veut léger et performant. Son fonctionnement « avancé » permet d’avoir un résultat similaire à RequestPolicy Continued (voir ci-dessous). Le mode de fonctionnement « normal » est celui habituellement utilisé par les bloqueurs de publicités, à savoir l’utilisation de listes noires. Les listes chargées par défaut sont EasyList, Peter Lowe’s Adservers, EasyPrivacy et Malware domains et certaines de ces listes ont pour objet de contrecarrer le pistage. Il permet également d’empêcher les fuites d’adresse IP liées à l’utilisation de WebRTC ;

  • Self-Destructing Cookies (sous licence GPL version 2) détruit les cookies stockés après avoir visité un site. Un réglage permet de conserver les cookies pour les sites de confiance. Cela permet de rester connecté à la session précédemment ouverte et de conserver ses paramètres de navigation comme la langue. Il est intéressant de désactiver les notifications indiquants la suppression de cookies dans les paramètres de l’extension.

Protections a priori plus fortes et plus exigeantes

Ces protections peuvent demander au quotidien des interactions de la part de l’utilisateur dans la mesure où elles sont susceptibles de rendre des sites inutilisables en tout ou partie, ainsi vous voilà prévenus ;)

  • [[Random Agent Spoofer]] (téléchargement) permet, en modifiant l’[[en-tête]], de mentir de manière aléatoire aux sites visités sur l’empreinte numérique dont :
  • l’identité et la version de son [[navigateur web]] ;
  • l’identité de son [[système d’exploitation]] ;
  • la [[définition d’écran]] ;
  • le [[fuseau horaire]] ;
  • la langue acceptée ;
  • le fait que les requêtes passent par des [[proxy]]. Chose que fait l’extension IPFlood. Démo pour tester la fonctionnalité. Article de blog pour en savoir plus.

  • RequestPolicy Continued bloque les requêtes vers les sites tiers. Cependant, l’extension peut casser le site et le rendre illisible. Le déblocage des requêtes des sites tiers est finement réglable au un par un pour rendre au site son aspect original. Dans le cas où le site est cassé, le nombre d’éléments qui seront récupérés pour chaque site tiers est indiqué. En général, plus le site tiers comporte d’éléments plus il y a de chance que ce site tiers redonne au site principal son aspect original. uBlock Origin offre ce fonctionnement dans son mode « Filtrage dynamique ».

  • NoScript (tutoriel détaillé) empêche l’exécution de JavaScript dans son navigateur web, afin d’éviter les fonctionnalités malveillantes qui pourraient être présentes. Cependant, la désactivation de JavaScript peut bloquer des fonctionnalités ainsi que le bon affichage des pages. NoScript peut toutefois être configuré finement et être utilisé à des fins autres que la vie privée, comme la sécurité.

  • uMatrix, du même auteur que uBlock Origin, est une extension avancée qui permet de contrôler précisément les requêtes effectuées par le navigateur. Il présente ces requêtes selon une matrice, où les lignes sont les domaines et les colonnes le type de requêtes (CSS, image, script, etc.). Chaque case indique le nombre de requêtes pour le domaine et le type de la case et il est possible de les autoriser (case verte) ou de les bloquer (case rouge).

  • Techniques pour changer ou passer par une autre adresse IP :
  • VPN (mais qui sont probablement « sur écoute » d’une façon où d’une autre) ;
  • un proxy, très facile à mettre en place avec SSH, si l’on dispose d’un accès à une machine distante qui sera utilisée comme proxy SOCKS5.

  • [[Tor Browser]] est une version modifiée de Mozilla Firefox ESR qui utilise le [[réseau Tor]] – une sorte de réseau anonymisant de serveurs [[proxy]] qui chiffre le trafic en son sein, pour faire simple – avec la plus grande sécurité possible. Il inclut en outre par défaut les extensions NoScript et HTTPS Everywhere ;

  • Substitution de ressources à la volée : de nombreux sites se délestent d’une part de leur trafic en faisant appel à des ressources centralisées sur d’autres serveurs. Par exemple, Google héberge une flopée de polices de caractères et de morceaux codes tels que JQuery ou Angular. L’utilisation d’un cache privé, tel que Decentraleyes ou CDN cache couplé à l’extension HTTPS Everywhere ou d’un miroir ajax googleapis, permet d’éviter de fournir votre historique de navigation à ces serveurs. Les ressources en question ne sont récupérées qu’une seule fois, puis conservées par votre cache auquel HTTPS Everywhere fera appel lorsqu’il les rencontrera à nouveau. CDN_cache nécessite de disposer d’une machine équipée d’un serveur HTTP et de PHP. Pour chaque ensemble de ressources à substituer, il faut définir une règle dans HTTPS Everywhere qui redirigera la requête initiale vers le cache. Si les ressources prédéfinies dans le code de CDN_cache ne couvrent pas vos besoins, il est suffisamment simple pour être étendu sans grande difficulté.

Protections non recommandées

Ces méthodes de protection sont souvent citées ; les auteurs de cette dépêche ne les recommandent pas pour les raisons suivantes :

  • Ghostery est un bloqueur de requêtes. Ce n’est pas un logiciel libre. L’éditeur assure que la remontée d’informations depuis le navigateur se limite au procédé GhostRank qui est désactivé par défaut. Le modèle économique de l’éditeur peut être sujet à quelques questionnements. Il semblerait que des informations soient envoyées à l’entreprise même lorsque Ghostrank est désactivé.

  • Disconnect bloque principalement les requêtes vers Google, Facebook et Twitter sans pour autant endommager l’expérience utilisateur en laissant passer certains sites. Il peut être considéré comme un équivalent libre de Ghostery ; débarrassé du premier de ses défauts, il conserve malgré tout son deuxième défaut à savoir externaliser le traitement de votre navigation ;

Fausses protections

L’option Firefox « Ne pas me pister » : consiste en un paramètre à régler dans les options du navigateur relatives à la vie privée ; une fois activé, le navigateur envoie aux sites une demande de ne pas être pisté, mais cette demande est laissée au bon vouloir de ces derniers. À l’inverse des deux extensions précédemment citées, l’activation de cette fonctionnalité ne comporte aucun inconvénient, mais ses bénéfices sont au mieux incertains. Cette fonctionnalité ne saurait donc être considérée comme une protection efficace.

Le mode de navigation privée n’empêche pas le pistage.

  • Ce mode a pour unique but de permettre de naviguer sur le web sans que les données de navigation (comme la partie historique, les cookies, les identifiants et mots de passes) soient conservés lors du prochain lancement du navigateur. Il s’agit de ne pas laisser, dans le navigateur, de traces qu’un utilisateur postérieur pourrait découvrir (par exemple si vous souhaitez acheter en ligne une surprise pour votre conjoint avec qui vous partagez votre ordinateur).
  • ouvrir une nouvelle fenêtre de navigation privée n’empêche pas le partage d’informations avec les autres sites des autres onglets qui seraient accédés dans la même session (les cookies restent communs :/).

Cela reste efficace pour une seule fenêtre et un seul onglet accédé dans la même session (ce qui limite son intérêt) pour une bonne partie des méthodes de pistage listées ci-dessus (mais pas toutes, le pistage DNS ou la prise d’empreinte numérique restent efficaces).

Utilisation d’un résolveur DNS respectueux de la vie privée

Pour éviter le pistage via la résolution DNS, une solution simple existe. Il suffit d’utiliser un résolveur DNS respectueux de la vie privée. Cela peut être :

  • celui de FDN ;
  • le résolveur quad9 ;
  • celui du fournisseur d’accès Internet associatif FFDN (c’est celui qui vient par défaut si on est abonné chez eux) ;
  • ou son propre résolveur DNS installé chez soi.

On peut également utiliser une alternative au DNS. Par exemple, le [[GNU Name System]], qui est en cours de développement, sera un système anonymisant basé sur une architecture pair à pair ainsi que sur une [[table de hachage distribuée]].

Bonne pratiques

Éviter de recourir volontairement à des services tiers dont le modèle économique repose sur le pistage du comportement des internautes.

Pour les webmestres :

  • Préférer une carte du projet communautaire [[OpenStreetMap]] plutôt que de Google Maps pour ajouter à votre site (voir Comment intégrer OpenStreetMap sur un site Web quelconque) ;
  • Analysez les logs de vos serveurs pour obtenir des statistiques de fréquentation de votre site, avec l’actuel Matomo (ex-Piwik), le vénérable Awstats ou le webalizer de votre hébergeur. Et si vous êtes contraint à utiliser un tracker JavaScript, par exemple par l’incapacité à accéder aux traces du serveur ou par les fonctionnalités nécessaires comme la gestion de campagnes commerciales, utiliser le logiciel Piwik pour garder les données de vos utilisateurs chez vous, plutôt que de tout envoyer sur Google Analytics  ;
  • Héberger localement les images, les bibliothèques JavaScript, les polices, etc. ;
  • Si vous avez réellement besoin de sous pour faire fonctionner votre site ne passez pas par des solutions tierces. Optez pour le prélèvement, le don par carte bancaire, le bitcoin ou tout simplement par l’envoi de chèque avec un petit mot ça fait toujours plaisir ;

Pour les internautes :

Pour les deux :

Vérification de l’efficacité des modules

Après installation/configuration des modules, il est possible de vérifier si l’on est unique ou pas sur internet en visitant le site web https://amiunique.org/ ou Panopticlick.

  • Lightbeam, qui est une extension maintenue par Mozilla, permet de visualiser interactivement les requêtes vers les sites tiers ainsi que les cookies déposés par ces derniers. C’est un outil qui permet de pister les pisteurs. Cette extension détecte le pistage via les techniques de site tiers et de cookies mais ne prétend pas détecter le pistage dans sa globalité.

Note aux utilisateurs de Random Agent Spoofer : ce qui est intéressant avec Random Agent Spoofer c’est qu’on s’en fout que amiunique.org déclare notre empreinte traçable puisque c’est pas la nôtre et qu’on en change peu après.

# À présent, sommes-nous entièrement protégés ?

Finalement, lorsque vous aurez bien appliqué toutes ces recettes et que vous penserez ne pas être pisté, sachez qu’il existe une technique assez surprenante, basée sur le rendu graphique WebGL. Voici une explication succincte :

“The method is based on the fact that the same HTML5 Canvas element can produce exceptional pixels on a different web browsers, depending on the system on which it was executed.”

Traduction :

“Cette méthode est basée sur le fait que le même Canvas HTML5 peut produire des pixels exceptionnels sur différents navigateurs web, en fonction du système sur lequel il s’exécute.”

Source : https://amiunique.org/faq

Existe-t-il des moyens pour se protéger contre cela ?

http://www.ghacks.net/2014/10/25/how-to-block-canvas-fingerprinting-in-firefox/ http://www.browserleaks.com/canvas

Conclusion

Dans le cadre de la défense de la vie privée (la nôtre mais aussi, à travers nous, celle de nos amis), nous avons vu la problématique du pistage de nos activités en ligne, et passé en revue un certain nombre de contre-mesures.

La défense de la vie privée impose également de se prémunir contre l’espionnage (privé ou étatique), pratique qui obéit à d’autres objectifs et qui n’a pas été traitée dans cette dépêche. L’enjeu est alors d’éviter d’une part que les flux de communication ne puissent être lus lorsqu’ils sont interceptés, d’autre part que nos données ne puissent être lues dans les serveurs où elles sont stockées. Dans les deux cas la solution passe par la dissimulation de l’utilisateur dans le réseau et le chiffrement de bout en bout : chiffrement des courriels avec OpenPGP, recours à des réseaux d’anonymisation comme un VPN chiffré ou Tor pour chiffrer les communications et masquer son adresse IP.

Contribuer

Chacun peut contribuer selon ses moyens, en participant, adhérant ou donnant à des associations de défense de la vie privée, comme :

Les pratiques des auteurs de cette dépêche

Quelques-uns des participants de cette dépêche vous dévoilent leur combo d’extensions/configurations pour tenter d’échapper au pistage :

  • antistress : contre le pistage par des tiers : sur mon netbook aux performances limitées, j’utilise principalement la protection contre le pistage intégrée à Firefox (la plus optimisée a priori en termes de performances) ; sur mon PC fixe, plus musclé, j’utilise uBlock Origin que je trouve l’outil le plus efficace pour le moment sans pour autant exiger d’interventions manuelles de la part de l’utilisateur. Mais je garde un œil sur Privacy Badger dont j’apprécie l’approche globale (arsenal de contre-mesures qui continue à s’étoffer) et la méthode (heuristique), sans parler de la confiance que j’accorde à l’EFF qui développe cette extension. Sur les deux machines, j’ajoute HTTPS Everywhere, Self-Destructing Cookies et Random Agent Spoofer. J’ai utilisé précédemment le duo RequestPolicy/NoScript que j’ai abandonné comme étant trop contraignant. Startpage est mon moteur de recherche par défaut (avec [[Ixquick]] et [[DuckDuckGo]] comme alternatives) et OSRM (basé sur OpenStreetMap) me sert pour mes calculs d’itinéraires. Je ne recours directement à aucun service du GAFAM.

  • Moul : pour empêcher que l’on piste ma navigation j’utilise PrivacyBadger, NoScript, Random Agent Spoofer, uBlock Origin, Self-Destructing Cookies, HTTPS Everywhere et Lightbeam pour voir mes exploits. J’utilise un mix de Startpage, Searx et Framabee.

  • Xinfe : j’ai supprimé Disconnect et Ghostery depuis que je suis passé à RequestPolicy puis à uBlock Origin dans la mesure où je bloque toutes les requêtes tierces par défaut, sauf exceptions gérées manuellement. Autrement, HTTPS Everywhere et Clean Links complémentent mon navigateur, et DDG et OSM me servent de moteur de recherche et de service cartographique. Privacy Badger mange les cookies laissés par les services tiers faisant du tracking alors qu’ils sont nécessaires au fonctionnement de certains sites.

  • Bolikahult : uMatrix me permet de me passer d’Adblock-*, ghostery, DoNotTrack, etc. Sinon j’utilise Self-Destructing Cookies, car il me permet de refuser les cookies comme règle par défaut, et de l’adapter finement au cas par cas (Je considère que refuser un cookie ne devrait pas casser l’utilisation d’un site). Mais aussi : smart HTTPS (à la place d’HTTPS Everywhere) ; I don’t care about cookies ; Google search link fix ; Referrer Control ; Decentraleyes ; Firefox Multi-Account Containers. je n’utilise plus Better Privacy depuis que flash est désinstallé de mon ordinateur. Mon moteur de recherche est google ou searx.me, que je trouve très bien, avec notamment une option « proxy d’image », des liens non pistés, et un résumé des cookies enregistrés.

  • NoNo : je suis toujours à la recherche d’une solution plus adaptée. Actuellement, je navigue avec uMatrix et ClearURLs. Je m’en sors, car je connais bien le développement web et je suis capable de bien comprendre les cases à cocher pour débloquer les sites web, mais il m’arrive aussi d’avoir à recourir à un autre navigateur (Firefox Developer Edition) pour certains sites avec beaucoup de JavaScript. Ce n’est donc pas une configuration que je recommande en dehors des experts du web : uBlock Origin avec potentiellement d’autres extensions listées ci-dessus est déjà une grande avancée en termes de vie privée, sans avoir trop de contraintes.

Et vous, chers lecteurs, quelles sont vos pratiques pour contrer le pistage ?