Firefox 94 vient d'arriver sur mon Archlinux. C'est l'occasion de vous partager quelques astuces sécurité et vie privée que j'utilise depuis un moment sur mon navigateur libre préféré
Je n'ai pas testé sur toutes les versions de FF, mais ça devrait fonctionner de la version 83 à 94 sans problèmes particuliers.
1./ Sécurité : activer l'isolation entre les sites web visités (fission)
Disponible depuis la version 83. La fonction d'isolation des sites appelée Fission n'est toujours pas activée par défaut dans Firefox 93. Mozilla attend d'être sûr qu'elle est stable et ne pose pas de problèmes aux utilisateurs.
Cette fonction d'isolation est une avancée majeure en terme de sécurité. Elle existe depuis des années dans Chromium, FF était très en retard là-dessus, mais ça y est le retard est enfin rattrapé !
Pour expliquer rapidement : à l'heure actuelle lorsque vous ouvrez plusieurs sites dans Firefox, ceux-ci sont tous situés dans le même espace mémoire. Il n'y a qu'un seul processus "Firefox". Lorsque Fission est activé, chaque site visité est exécuté dans un sous-processus. Chaque site est donc confiné dans son propre espace mémoire.
Exemple concret : avec un site web A et un site web B.
A de confiance est un site sur lequel vous saisissez vos identifiants bancaires pour commander un produit. Le code du site A et ces informations sont mises en mémoire. Dans le même temps vous avez ouvert un site B qui contient du code malveillant. Comme A et B sont dans le même espace mémoire, le code malveillant situé sur le site B pourrait permettre à ces auteurs de récupérer les informations stockées dans la mémoire depuis le site A.
Lorsque Fission est activée, cela ne peut pas arriver. Quand bien même le site B contient du code malveillant, il sera impossible d'exfiltrer des informations sur les autres sites ouverts dans Firefox. Il est confiné dans son propre espace mémoire et ne peut absolument pas voir les autres.
Comment l'activer ?
Il faut sur rendre dans l'éditeur de configuration avancée en tapant about:config dans la barre d'adresse. Vous allez voir un avertissement, il faudra indiquer à Firefox que vous avez compris que c'était risqué en cliquant sur "Accepter le risque et poursuivre"
Ensuite, dans la barre de recherche, on recherche "fission" puis on double clique sur la ligne "fission.autostart" pour passer la valeur à true.
À partir de là, il suffit de redémarrer pour bénéficier de Fission. La consommation mémoire sera du coup plus élevée mais il en va de votre sécurité, c'est donc un maigre prix à payer.
Pour vérifier que cela fonctionne bien, vous pouvez ouvrir plusieurs sites et la page spéciale about:processes. Vous pourrez alors voir que chaque site est séparé dans un sous-processus affiché en gras avec la quantité de mémoire qui lui est allouée.
2. / Activer le DNS chiffré (DNS sur HTTPS, DoH)
Cette fonctionnalité est arrivée depuis longtemps dans Firefox. En Europe, je crois qu'elle n'est pas activée par défaut (ou c'est peut-être selon la distribution).
Quoi qu'il en soit, il est préférable de l'activer pour améliorer sa sécurité, mais surtout sa vie privée.
Pour expliquer rapidement, les DNS « système de nom de domaines » (Domain Name System) sont en quelque sorte l'annuaire et le GPS d'Internet. Le protocole IP qui sert de base à tout Internet ne sait pas communiquer autrement qu'avec des adresses IP.
Sans DNS, on serait donc obligé de connaître précisément l'adresse IP du site où nous voulons aller. Ce n'est pas très pratique d'autant qu'une IP ça peut changer ou être mutualisée entre plusieurs sites. C'est là qu'intervient le DNS. Concrètement, le domaine concerné a été enregistré auprès d'un bureau international pour être associé à une adresse IP déterminée. C'est comme l'annuaire. Par exemple cenabumix.org bénéficie d'un enregistrement DNS pour l'adresse IP 154.41.66.26. Pour moi c'est plus simple de retenir et de taper cenabumix.org dans mon navigateur
Ainsi lorsque je veux aller vers cenabumix.org mon navigateur interroge en fait un intermédiaire qu'on appelle le résolveur DNS. C'est ce résolveur qui fait le lien avec l'annuaire mondial et qui va dire au navigateur vers quelle adresse IP il faut aller pour afficher le site. La plupart du temps, on utilise les résolveurs du DNS du réseau sur lequel on se trouve. Si vous êtes chez vous, c'est le résolveur de votre FAI. Si vous êtes sur un réseau public comme un hôtel, c'est le résolveur de l'hôtel.
C'est là que l'on voit tout l'intérêt de chiffrer le DNS qui est un composant crucial de l'Internet. En effet, vous l'aurez compris, celui qui maîtrise le résolveur DNS maîtrise la façon dont votre machine navigue vers Internet. Par exemple, lorsque la justice demande aux FAI de bloquer l'accès à un site Internet, c'est souvent sur le résolveur DNS qu'ils agissent, ils suppriment du résolveur l'IP connue pour le domaine à bloquer. Votre navigateur vous dira alors que le site n'existe pas. Dans le pire des scénarios, la requête DNS pourrait être interceptée par un attaquant sur le réseau pour vous diriger vers un mauvais site, voire le résolveur pourrait être corrompu et vous renvoyer vers le mauvais site. Vous demandez "mabanque.com" et le résolveur DNS vous renvoie vers une IP qui n'est pas réellement celle de votre banque et contient un site ressemblant dans le but de vous dérober vos identifiants.
En chiffrant le DNS on évite cela puisque la requête jusqu'ici acheminée en clair entre votre navigateur et le résolveur sera dorénavant illisible sauf pour le résolveur qui est son destinataire légitime. Cela empêche qu'elle puisse être interceptée/détournée. Cela évite également de révéler le domaine que vous souhaitez visiter. Par exemple "jaiunboutonsurlenez.com" vous n'avez pas forcément envie que tout le monde sache que vous allez visiter ce site qui en dit déjà beaucoup. Attention, celui qui fournit l'accès peut toujours savoir vers quelle IP votre machine a navigué. De la même façon, même si on utilise le DNS chiffré, il faut choisir un résolveur de confiance car celui qui gère le résolveur peut évidemment savoir quelles sont les requêtes effectuées sur le résolveur comme évoqué précédemment.
Pour activer le DNS sur HTTPS dans Firefox, il faut aller dans les paramètres puis cliquer tout en bas sur "Paramètres réseau". Tout en bas on trouve alors une case à cocher "Activer le DNS sur HTTPS" et la possibilité de choisir un résolveur. Mozilla a sélectionné 2 résolveurs qui ont plutôt bonne réputation, celui de la société Cloudflare et NextDNS. Il est aussi possible de choisir un résolveur personnalisé si vous connaissez un fournisseur de DNS sur HTTPS de confiance.
3. / Mieux protéger sa vie privée et renforcer sa sécurité en activant les onglets contextuels ou onglets conteneurs (empêcher Google et Facebook de vous suivre d'un site à l'autre)
Firefox propose une extension officielle pour isoler les contenus stockés localement dans le navigateur par les différents sites visités. Ce contenu comprend le cache, mais aussi les cookies ou encore le local storage HTML5 (dit « web storage »). Dans ce contenu local et particulièrement des les cookies, les différents sites peuvent vous pister et suivre votre navigation d'un site à l'autre. Par exemple, lorsqu'ils sont présents sur un site, Google Analytics et Amazon Ad System (pour ne citer qu'eux) vont déposer un cookie contenant un identifiant unique relatif à votre navigateur. Cet identifiant unique vous suivra sur tous les sites où ces traqueurs sont présents. Cela permet à ces entreprises de savoir quels sites vous avez visités, quel contenu vous intéresse etc. Il en va de même avec Facebook et son bouton j'aime ou partager.
La situation s'aggrave encore plus si vous avez ouvert un compte sur leurs sites principaux. Par exemple, vous avez ouvert Gmail dans un onglet et choisi de conserver la connexion en cache pour plus d'ergonomie, à chaque fois que vous allez ouvrir un site de presse où Google Analytics est présent, Google saura ce que vous avez lu et pourra relier l'identifiant unique de Google Analytics à votre compte Google et donc identifier précisément la personne. Il pourra même relier tout ça à votre appareil Android et agréger votre activité dessus si votre appareil est relié à un compte Google (ce qui est obligatoire pour le Play Store).
Pour activer les onglets contextuels, il faut l'installer l'extension officielle fournie par Mozilla : https://addons.mozilla.org/fr/firefox/a ... ontainers/
À partir de là, vous pourrez créer des conteneurs pour les sites que vous souhaitez. Pour ma part, je sépare le professionnel du personnel, les réseaux sociaux, le bancaire et certains sites d'achats en ligne. J'ai mis en oeuvre cette fonctionnalité il y a plus de 2 ans, je n'ai jamais rencontré le moindre désagrément à l'usage. Bien au contraire, je n'ai plus l'impression d'être suivi et je ne vois pas de publicités ciblées sur les sites où celles-ci sont inévitables.
L'autre intérêt de cette extension, c'est qu'elle permet de connecter plusieurs comptes différents sur un même site dans différents onglets.
4./ Protéger sa vie privée en utilisant les outils intégrés de lutte contre le pistage (SmartBlock)
Depuis très longtemps maintenant, Firefox propose des mécanismes natifs de blocage des principaux traqueurs. Cette protection repose essentiellement sur un outil appelé SmartBlock. Il est passé en version 3.0 depuis Firefox 93 et a été sérieusement enrichi.
En plus de protéger contre la prise d'empreinte ou les traqueurs, il peut désormais bloquer le referrer HTTP pour mieux protéger votre vie privée. Derrière cette technologie, un site ne pourra plus tracer l'URL d'origine de laquelle vous venez. Cela renforce donc la vie privée puisque le profilage commence justement par le suivi de ces fameux referrer.
Pour l'activer c'est très simple, dans les options de Firefox > Vie privée et sécurité > Cocher protection stricte
Firefox vous avez averti que vous risquez de ne plus pouvoir afficher certains sites correctement. Personnellement, je n'ai jamais eu de souci. Les blocages que j'ai rencontrés n'ont jamais été causés par SmartBlock mais plutôt par mes réglages très stricts dans µBlock Origin. Au pire vous pourrez toujours désactiver smartblock pour un site si besoin. Quoi qu'il en soit, si un site ne fonctionne pas bien en raison des éléments intrusifs bloqués par SmartBlock, il apparaît clairement que c'est un service à éviter.
La suite pour bientôt
5./ Utiliser l'extension uBlock Origin pour bloquer publicités, traqueurs et scripts indésirables
6./ Forcer la navigation en HTTPS seulement
