207.241.226.215
Le Poisson Libre #


Protéger sa navigation sur le web

Plouf tout le monde et bienvenue dans ce nouvel article !

Depuis peu, je participe à l'organisation d'Ateliers Vie Privée à Lyon. J'ai beau avoir un peu crié la dernière fois, je reste convaincu que c'est par des actions locales que l'on pourra changer les attitudes des gens sur Internet.

Du coup, au dernier jeudi vie privée en date, nous avons parlé du tracking sur le web et de comment s'en protéger. J'aimerais revenir sur ce sujet. Je vais suivre la trame de l'atelier, mais je prend quelques libertés quand même parce que c'est mon blog :-)

Des prérequis

Alors, on va parler ici de tracking sur le web, c'est à dire que c'est dans un navigateur que ça se passe. Pour rappel, le web est un service comme un autre d'Internet, qui permet de se connecter à des serveurs pour afficher des pages. Si vous souhaitez comprendre un peu mieux comment ça fonctionne, j'ai écrit un article qui montre comment mettre en place un serveur web avec des outils simples.
Pour naviguer sur le web on utilise donc un navigateur. Comme on parle ici de protection de la vie privée, je vous conseille d'utiliser Firefox. Il est développé par Mozilla, une fondation à but non lucratif qui est engagée en faveur de l'utilisateur, de la liberté et d'un internet ouvert. De ce fait, Firefox est un logiciel libre, le code source est donc ouvert et facilement auditable (gage de sécurité !).

Utiliser un navigateur libre me semble être la première des nécessités lorsque l'on souhaite protéger ses données. Je n'impose pas non plus Firefox, mais je le recommande vivement ;-)

Mais de qui doit-on se protéger ?

Maintenant que tout est au point au niveau des bases, il s'agit de comprendre qui ou quoi nous traque sur le web. On peut distinguer deux principales catégories d'acteurs :

Cependant leur objectif le même : monter un profil de l'utilisateur afin de cibler les contenus. Mais pourquoi ? me direz-vous.

Dans le cas d'une régie, connaître précisément les goûts et l'identité (sexe, age, nationalité) du visiteur permet d'afficher des publicités susceptibles de lui convenir. Grossièrement, cela correspond à la situation où vous avez regardé un site d'achats de chaussures et que juste après vous voyez partout des pubs de chaussures. Ainsi, les régies peuvent obtenir des statistiques de mémorisation du message et de passage à l'acte d'achat importantes. C'est clairement une manipulation de l'internaute en jeu ici.

Pour les réseaux sociaux, posséder le plus de données possibles sur l'internaute leur permet de proposer dans la "timeline" le plus possible d'informations qui peuvent plaire. Cela permet d'enfermer le membre dans le-dit réseau social pour maximiser le temps passé sur la plate-forme.
Aussi, être en mesure de proposer des contenus qui plairont forcément à une personne est un pouvoir important pour des réseaux sociaux qui mettent en avant des "posts sponsorisés", on en revient alors au même problème que la publicité.
Enfin, on remarque de plus en plus que hyper-personnalisation du flux social empêche les personnes de changer l’opinion, et conforte plutôt celles déjà établies. Typiquement, si on prend une personne qui doute du réchauffement climatique, alors des publications plutôt climatosceptiques seront proposées, et comme la personne cliquera sur ces liens, le réseau social en reproposera encore plus, ce qui aura pour effet de durcir des convictions climatosceptiques que la personne n'avait pourtant pas au départ. C'est un enfermement des idées, et le pire problème selon moi.
Ah oui, et ceux qui n'ont pas de compte sur le réseau social ne sont pas épargnés, celui-ci crée des profils fantômes au cas où vous viendriez un jour ;-)

Comment font-ils ?

Le tracking est effectué à l'aide de différents outils : les scripts et les cookies.

Les premiers sont des petits bouts de code que le créateur du site met dans sa page. Ils permettent d'ajouter des fonctionnalités, sans se casser trop la tête. Typiquement, ce sont les boutons de partage :
Faciles à mettre en place pour un webmaster, mais qui coûtent en vie privée aux visiteurs.
Mais les scripts sont aussi des choses invisibles, prenez un site très populaire, regardez le code source (clic droit -> code source), et là vous verrez nombre de balises script et de code en bataille. Ces scripts servent à l'analyse de trafic par exemple. On trouvera souvent le fameux "google analytic" qui est un service de Google permettant de mesurer le nombre d'internautes qui visitent le site, où vont-ils, combien de temps, depuis quel appareil. Ce peuvent être des données utiles pour webmasters, mais c'en sont aussi pour Google.

L'autre moyen, ce sont les cookies. Ce sont de petits fichiers textes qu'un site dépose sur l'ordinateur. C'est très utile pour stocker l'information que vous êtes tel utilisateur (la fameuse case "se souvenir de moi"). Mais c'est aussi bien pratique pour y mettre un identifiant publicitaire unique vous correspondant retrouvable à chaque site visité.

De la visualisation

Comme vous utilsez Firefox, il se trouve qu'il existe une extension bien pratique qui permet de voir en direct les trackers appelés par un site : Lightbeam.
Elle permet facilement de voir quels sont les domaines appelés lors du chargement d'une page. Et si vous l'utilisez longtemps, vous verrez qu'il établit des liens intéressant entre sites en se basant sur les trackers en commun. Rien que se rendre sur le site du Monde est impressionnant, une cinquantaine de trackers se chargent O.o

Pour un média orienté libre, ça fait beaucoup de trackers ^^ (c'est Numerama)

Réglages

Tout d'abord, on peut beaucoup influer sur le comportement de Firefox en utilisant seulement les paramètres.
Go dans le menu (les trois traits en haut à droite) puis "Préférences". Là, on va déjà regarder ce qui se trouve dans "Vie privée".

Un premier réglage intéressant, c'est le DoNotTrack, "demander au sites de ne pas me pister". Avec cette fonction activée, les requêtes faites par le navigateur seront jointes d'un message demandant au site de ne pas pister l'internaute. Il faut savoir que c'est une simple demande qu'effectue le navigateur, ce n'est en rien une obligation le site peut ignorer ou non ce signal. En pratique très peu en tiennent compte, bien que ce soit quelque chose de sympathique, ça ne nous aidera pas tellement.

La deuxième case, "Utiliser la protection contre le pistage dans les fenêtres de navigation privée" c'est déjà beaucoup plus intéressante. Fonction arrivée depuis FF42, elle active un anti-trackers dans la navigation privée. C'est à dire que vous pourrez dire au revoir aux scripts et autres joyeusetés sus-citées (je reviens sur la navigation privée plus bas).

Ensuite vous pouvez gérer l'historique, c'est plus une protection locale qu'autre chose (en cas d'une personne qui accède à votre PC), donc on ne s'y attarde pas.
En dessous cependant, vous pouvez toucher aux réglages des cookies. En appuyant sur "Afficher" vous pourrez voir tous les cookies en place sur votre navigateur (et oui y'en a un paquet !). Dans cette fenêtre vous pouvez choisir d'en supprimer certains ou tous. Je vous rappelle toutefois que les cookies sont utiles pour beaucoup de sites afin de conserver votre session active.
Cependant les réglages les plus importants sont hors de cette fenêtre. Vous pouvez choisir d'accepter selon certaines conditions les cookies tiers. Ces derniers sont les cookies qui se posent sur votre PC quand vous n'êtes pas sur le site auquel ils correspondent. Comment ? Via les appels des scripts notamment. Ce sont eux qui servent notamment au tracking tout le long de votre navigation. Je vous conseille de ne les autoriser qu'à la visite des sites (ce qui limite leur portée) ou pas du tout (le mieux).
Enfin dernier réglage, leur destruction. Par défaut les cookies disparaissent au bout d'un certain temps défini à leur création. Mais vous pouvez choisir de les détruire à la fermeture de firefox, une option que je recommande, ça permet d'avoir une navigation propre quand on rouvre firefox. Sinon, vous pouvez demander à choisir à chaque fois qu'un site en pose, ça permet de se rendre compte de la fréquence importante de création, mais ça fait des popups très régulièrement ^^

La navigation privée de Firefox

Tous les navigateurs aujourd'hui possèdent cette option. Le fonctionnement général c'est d'ouvrir cette fenêtre, de naviguer, puis à la fermeture tout l'historique et les cookies sont supprimés. C'est déjà très utile lorsque l'on souhaite naviguer sur un ordinateur qui n'est pas le sien sans laisser de traces ou de compte ouvert. Ensuite, ça limite le tracking par la destruction des cookies à sa fermeture, déjà une bonne chose.

Mais Firefox, depuis sa version 42, va beaucoup plus loin ! En effet, on peut désormais bénéficier d'une protection complète contre le tracking, grâce à un bloqueur de scripts (qui fait disparaitre les publicités par la même occasion).

Pour ouvrir une nouvelle fenêtre de navigation privée dans Firefox, soit on clique sur les "troits barres" en haut puis "fenêtre privée", soit en utilisant le raccourcis CTRL+MAJ+P. Là vous pourrez constater l'apparition d'un bouclier dans la barre d'url lorsque des scripts sont bloqués.
Voilà déjà un bon moyen de protection !

Les extensions

Maintenant que nous avons vu ce que l'on pouvait faire avec les fonctions natives de Firefox, passons aux extensions. Ces dernières sont des petits programmes qui ajoutent des fonctionnalités. Elles peuvent aussi être appelées "Modules Complémantaires" ou "Plug In".

Pour accéder au menu des extensions dans Firefox, c'est toujours dans le menu "trois barres" puis "Modules". Là vous verrez les extensions installés et pourrez accéder à tout le catalogue.

Le catalogue, comme un store, mais pour les extensions.

uBlock Origin

Commençons tout de suite avec uBlock Origin, c'est le bloqueur de publicité qui a succédé à adblock edge. Je n'étendrais pas sur les péripéties des extensions qui bloquent la publicité, sachez simplement que uBlock Origin est actuellement le meilleur. Autant d'un point de vue du logiciel libre, que des performances (très rapide et peu consommateur en mémoire vive !).

Vous pouvez donc l'installer depuis le catalogue facilement ici. Une fois en place, un bouclier apparait dans la barre d'extension (à droite de la barre de recherche). Pour chaque site visité un petit carré dans le coin affichera le nombre d'éléments bloqués sur ce site. En cliquant sur ce bouclier, on accède à des statistiques plus poussées, et à un gros boutons pour désactiver le blocage.

Si vous n'y touchez pas plus, l'extension va se contenter de bloquer les publicités. Cependant ce serait passer à côté de la meilleure fonctionnalité : les listes additionnelles. En fait, pour bloquer des éléments de pages web, ublock origin utilise des listes établies de domaines qui sont connues comme étant de la publicité, du tracking... Et on peut en ajouter :-)

Pour cela, on clique sur "uBlock Origin {numéro de version}" (oui, ce n'est pas intuitif). Et là, un nouvel onglet s’ouvre avec les paramètres. Il y a beaucoup de choses à configurer, farfouillez un peu il y a des choses très intéressantes. On va pour notre part se concentrer sur l'onglet "Liste de Filtres" qui permet de gérer les listes. il suffit simplement de cocher les cases pour ajouter des listes. Par défaut il n'y a aucune protection contre les scripts. Pour y remédier, ajoutez la liste "Basic tracking list by Disconnect‎" (Disconnect étant une extension que je vous présente juste après). De la même manière, vous pouvez utilisez la liste "Anti-ThirdpartySocial" pour bloquer les boutons des réseaux sociaux sous forme de scripts. Il y a pleins d'autres listes, pour pleins d'autres objectifs, je vous laisse regarder. Les deux présentées plus haut sont celles que je recommande au minimum.

Disconnect

Voici donc une autre extension, Disconnect. Contrairement à uBlock, celle-ci a pour fonction principale de bloquer les scripts. On l'installe de la même manière qu'uBlock, depuis le catalogue. Son usage est probablement plus intuitif. Un "D" apparait alors dans la barre, affichant pour chaque site visité le nombres d'éléments bloqués. Mais la fonctionnalité pratique apparait lorsque l'on clique sur l'icone. On y voit plusieurs catégories dans lesquelles sont rangées les trackers : "Advertising" (publicité), "Analytics" (analyse), "Social" (les réseaux sociaux) et "Content" (le contenu de la page).Dans chacune sont donc rangés les trackers correspondants, il suffit de les cocher pour qu'ils soient bloqués à l'avenir.

Autre fonction pratique, les icônes devant les catégories et, au dessus les logos de 3 grandes entreprises du web (Google, Twitter et Facebook) sont cliquables. Vertes, les trackers associés seront bloqués, et à l'inverse Grises ils passeront.

Ensuite, on peut facilement mettre le site en liste blanche (rien de bloqué) avec le bouton en bas. Et information utile, le temps et la bande passante économisés avec le blocage apparaissent sous forme de graphique.

Privacy Badger

Finissons avec une extension assez proche de Disconnect, Privacy Badgerde l'EFF. Proche, mais poussant le concept plus loin. En effet, une fois installé, Privacy Badger vous affichera lui aussi le nombre d'éléments bloqués. Mais à la différente de Disconnect, après avoir cliqué sur le blaireau lui servant de logo, on est face à la liste brute de tous les trackers de cette page.

À côté est disposée une réglette, par défaut elle est sur le vert donc ne bloque pas l'élément. S'offre alors à nous la possibilité de la pousser pour bloquer partiellement ou totalement. Partiellement cela signifie que Privacy Badger va simplement faire en sorte que celui-ci ne pose pas de cookie sur le navigateur (d'où le petit dessin !), il bloque donc seulement un moyen de tracking. C'est une solution intermédiaire utile quand on est confronté au cas d'un site qui ne peut fonctionner sans certains scripts de Google (par exemple), on peut utiliser le site tout en limitant le pistage.

Par contre, pousser la réglette au bout permet de bloquer complètement comme le font les deux extensions sus-citées.

La difficulté et la puissance de Privacy Badger, vient de cette liste abrupte. On peut bloquer tout ce que l'on souhaite, mais on peut rapidement se rendre le site inutilisable (car empêchant certaines fonctionnalités). Abandonnez tout de suite l'idée de tout bloquer en bloc (mais essayez quand même une fois, c'est marrant ^^). Il faut donc expérimenter soi-même en bloquant au fûr et à mesure. L’avantage est que la configuration est hyper propre et adaptée, mais cela prend du temps. Il y a quelques "tricks" à appliquer tout de même (genre un truc qui contient "ad" dans son nom, c'est très probablement de la pub ^^), mais c'est un fonctionnement plutôt avancé que propose Privacy Badger, c'est à savoir.

Les autres

Je me suis concentré sur ces trois extensions car les plus populaires et générales. Il en existes d'autres très intéressantes (mais parfois moins intuitives). Je citerai NoScript, HTTPSEverywhere ou SelfDestructingCookies.

Je voudrais aussi parler d'un site tout récent de l'EFF qui permet de voir le degré de protection de son navigateur : Panopticlick. C'est pas mal fait. Il y a cependant un aspect dont je n'ai pas parlé mais que cet outils vous mettra en avant, le fingerprint. C'est un moyen de tracking récent qui se base sur un identifiant unique que possède un navigateur (quand on croise plusieurs informations). Il est assez difficile de s'en protéger, et n'ayant pas de solution à vous proposer, j'ai préféré l'éluder.

Le mobile

Quelque chose que je trouve assez important aujourd'hui c'est la protection sur mobile. Parce que ce sont des appareils que l'on utilise de plus en plus, il devient important de se protéger du tracking avec. Et le truc cool, c'est que Firefox est disponible sur mobile ! Les choses étant bien faîtes, Mozilla l'a rendu compatible avec nombre d'extensions. Vous y trouverez un menu tout pareil que sur PC pour en installer. Mais, car il y a un mais, comme dit plus haut toutes les extensions ne sont pas compatibles. Dans les trois que je vous conseille, seul uBlock Origin l'est... C'est donc tout naturellement celle que je vous conseille d'installer sur mobile (permettant par la même occasion de bloquer les pubs, avares en data).


Voilà ! C'est tout pour cet article que j'ai mis beaucoup de temps à écrire >< Cependant je suis content de l'avoir fait, j'espère qu'il pourra être utile :-) Je vous dit à bientôt pour un prochain article, et d'ici là tâchez de libérer le monde !

publié le 15/01/2016 à 22h20 dans Libre

A.

Salut,

On peut rapprocher ta liste de module de celle d'Aeris [0]
Comme extensions utile que j'ai l'habitude d'installer il y a :
Decentraleyes [1] :
Ça émule les "fermes à scripts" en local. Au lieu d'aller faire une requête chez ajax.googleapis.com ou autres tout est dans le navigateur.
Calomel SSL Validation [2] :
Affiche un bouclier dont la couleur change en fonction de la sécurité réellement fournie par la configuration SSL/TLS utilisée.

Sinon, il y a encore quelques morceau de Google qui trainent dans Firefox, notamment la fonction safe-browsing. Voir [3].

Merci pour cet article :)

[0] https://blog.imirhil.fr/2015/12/08/extensions-vie-privee.html
[1] https://addons.mozilla.org/firefox/addon/decentraleyes/
[2] https://addons.mozilla.org/firefox/addon/calomel-ssl-validation/
[3] http://www.revoltenumerique.herbesfolles.org/2011/09/12/nettoyer-firefox-google-le-8e-passager/ C'est un peu vieux mais il doit toujours y avoir des informations valides.

publié le 15/01/2016 à 23h06

nIQnutn

tu noteras que l'utilisation de la plupart des extensions rendent ton fingerprint encore plus unique.
pour se protéger, il faut passer par des solutions radicales: NoScript, désactiver Flash mais la seule méthode efficace décrite dans le rapport de l'EFF semble l'utilisation de tor browser (mais ne pas modifié ses paramètres).

publié le 16/01/2016 à 11h06

Stephanou

Salut,

On oubli aussi trop souvent de conseiller la création de plusieurs profiles que l'on peut paramétrer individuellement en fonction du type de navigation que l'on effectue. Par exemple, on peut créer un profil assez restrictif et exclusif pour se connecter à son compte en banque. Un autre profil pour la bagatelle (réseaux sociaux, Youtube, etc) et un autre pour le reste (site info, achat en ligne). Chaque profil ayant son dossier à lui (cookies, historique, etc), c'est donc une façon de faire en sorte que le bon grain ne côtoie jamais l'ivraie.

Perso, tous mes profils sont en navigation privée par défaut, certains ont même Javascript désactivés et j'autorise telle ou telle ressource en fonction de son utilité et uniquement en fonction de cela. Par exemple, quand on ne fait que lire du texte sur des sites d'info, ni Javascript, ni les cookies, ni les cookies tiers et encore moins flash ont une quelconque utilité.

publié le 16/01/2016 à 18h18

test

test

publié le 23/08/2016 à 00h40





RSS Suivre les RSS