Face à l'hégémonie du navigateur Chrome de Gooogle, la seule véritable alternative est Firefox.  C'est un navigateur très rapide, open-source et respectueux un minimum  de votre vie privée, cependant cela s'avère n'être pas suffisant pour  échapper au pistage en ligne.

Nous  allons aborder ici les moyens d'améliorer la confidentialité de ce  navigateur à l'aide de divers paramétrages et de quelques extensions.

‌                 ‌

Empreinte du Navigateur

Lorsque  vous visitez une page web, votre navigateur envoie toutes sortes  d'informations sur votre configuration actuelle. Ainsi si la combinaison  de toutes les informations disponibles sur votre navigateur est unique,  il sera possible de vous identifier précisément parmis toute la masse  d'utilisateurs d'internet et de vous pister à l'aide de cookies.

Certains  outils permettant de quantifier relativement précisément dans quelle  mesure votre configuration de navigateur est unique. Il vous sera dès  lors possible d'adapter votre configuration à ce que la plupart des  navigateurs déclarent, ou du moins de la faire paraître comme telle.

Panopticlick - EFF

Am I Unique

Vous  devriez donc essayer d'utiliser les polices et les résolutions de  navigateurs les plus communes, modifier votre agent utilisateur pour  correspondre à ce que la majorité des utilisateurs ont. En effet,  désactiver JavaScript, utiliser une distribution Linux, posséder un  bloqueur de pub, etc. sont autant de choses permettant de vous  identifier en vous faisant sortir du lot.

Cela  ne veux pas dire pour autant qu'il faut revenir sur Windows, arrêtez  d'utiliser Tor et activer Javascript partout. Il est heureusement  possible de faire autrement.

‌                 ‌

Extensions

Agent Utilisateur

Il est possible de modifier son agent utilisateur correspondant à sa configuration appareil / navigateur / système d'exploitation en l'usurpant par un autre plus commun.

Je  recommande d'utiliser l'agent utilisateur commun au navigateur Tor, car même s'il n'est pas si commun que cela, son utilisation massive permet  de noyer les personnes utilisant le Tor Browser dans la masse.

Entrer donc cette chaîne dans le champ de l'extension User-Agent Switcher (cliquez sur le bouton d'édition manuelle).

Mozilla/5.0 (Windows NT 6.1; rv:60.0) Gecko/20100101 Firefox/60.0

Arrêter le traçage avec «Privacy Badger»

Privacy Badger est une extension de navigateur qui  empêche les publicités et autres traqueurs tiers de tracer secrètement  où vous allez et ce que vous regardez sur le web. Privacy Badger apprend  sur les traqueurs à mesure que vous naviguez en expectant les requêtes  des sites web vers les ressources externes. Soyez conscients que Google Analytics n'est pas considéré comme un tiers par Privacy Badger, ce qui signifie que Google Analytics ne sera pas bloqué si vous n'utilisez pas un autre bloqueur de publicités, comme uBlock Origin.

https://www.eff.org/privacybadger/

Bloquer les Publicités et les Traqueurs avec «uBlock Origin»

Un bloqueur à large spectre efficace, léger en mémoire, et qui peut pourtant charger et appliquer des milliers de filtres supplémentaires que les autres bloqueurs populaires existants. Il n'a aucune stratégie de monétisation et est  complètement open source. Nous recommandons de l'utiliser avec Firefox mais uBlock Origin marche aussi sur les autres navigateurs comme Safarie, Opera et Chromium. À l'inverse d'Adblock Plus, uBlock Origin n'autorise pas les fameuses «publicités acceptables».

https://addons.mozilla.org/firefox/addon/ublock-origin/

Supprime automatiquement les cookies quand ils ne sont plus utilisés par les onglets ouverts du navigateur. En plus des cookies, les sessions persistantes ainsi que les informations utilisées pour vous espionner seront purgées.

https://addons.mozilla.org/firefox/addon/cookie-autodelete/

Le Chiffrement partout avec «HTTPS Everywhere»

Une extension Firefox, Chrome et Opera qui chiffre vos communications  avec la majorité des sites web, améliorant la sécurité de votre navigation. Une collaboration entre le projet Tor et l'Electronic  Frontier Foundation.

https://www.eff.org/https-everywhere

Bloquer les Réseaux de Diffusion de Contenu (CDN) avec «Decentraleyes»

Émule les Réseaux de Diffusion de Contenu localement en interceptant  les requêtes, récupérant la ressource requise et l'injectant dans l'environnement. Tout se passe instantanément, automatiquement, et aucune configuration n'est requise. Source code : GitLab (auto-hébergé).

https://addons.mozilla.org/firefox/addon/decentraleyes/

Les extensions suivantes demandent une bonne compréhension des différents paramètres et sont plutôt destiné à une utilisation assez avancée.

Arrêter les requêtes intersites avec «uMatrix»

Beaucoup de sites web intègrent des fonctionnalités autorisant les  autres sites à vous traquer, comme les boutons Like de Facebook ou  Google Analytics. uMatrix vous donne le contrôle sur les requêtes que  les sites web font vers d'autres sites. Ce vous donne un contrôle plus  grand et mieux ajusté sur les informations qui fuitent en ligne.

https://addons.mozilla.org/firefox/addon/umatrix/

Gérer ses paramètres de confidentialité avec «Privacy Settings»

Vous permet de modifier les paramètres de confidentialité intégré de Firefox très simplement via un menu dédié.

https://addons.mozilla.org/firefox/addon/privacy-settings/

Bloquer la prise d'empreinte via JavaScript avec «CanvasBlocker»

Ce module complémentaire permet aux utilisateurs d'empêcher les sites Web d'utiliser certaines API Javascript pour identifier. Vous pouvez peuvent choisir de bloquer les APIs entièrement sur certains ou tous les sites Web (ce qui peut casser certains sites Web) ou de falsifier l'API de lecture d'empreintes numériques.

https://addons.mozilla.org/firefox/addon/canvasblocker/


Fuite WebRTC

WebRTC  est un protocole de communication s'appuyant sur JavaScript et qui a le  défaut de pouvoir laisser fuiter votre véritable adresse IP malgré  l'utilisation d'un VPN

Test de fuite WebRTC

Désactiver WebRTC dans Firefox

Il vous suffit de passer l'option "media.peerconnection.enabled" sur "false" dans la page about:config.

Quelques précisions :

  1. Entrez `about:config dans la barre d'adresse de Firefox et pressez la touche entrée.
  2. Pressez le bouton « Je ferai attention, promis ! ».
  3. Cherchez "media.peerconnection.enabled"
  4. Faites un double clic sur l'entrée, la colone "Value" devrait désormais être sur "false"
  5. Faites de nouveau le test de fuite WebRTC.

Si vous voulez vous assurer que le moindre paramètre en rapport avec WebRTC est désactivé, modifiez ces paramètres :

  1. media.peerconnection.turn.disable = true
  2. media.peerconnection.use_document_iceservers = false
  3. media.peerconnection.video.enabled = false
  4. media.peerconnection.identity.timeout = 1

Maintenant vous pouvez être sûr à 100% que WebRTC est désactivé.

‌                 ‌

Configuration avancée

L'essentiel des modifications de configurations de Firefox s'effectueront dans la page about:config. Après avoir pris connaissance de l'avertissement, vous pouvez rechercher parmis les différentes options et modifier leur valeur comme indiqué.

  1. privacy.firstparty.isolate = true
  • Résultat de l'effort Tor Uplift,  cette préférence isole toutes les sources d'identifiants de votre  navigateur (ex: les cookies) de domaine principal,  avec comme objectif  de prévenir le traçage à travers les différents domaines.

2. privacy.resistFingerprinting = true

  • Résultat de l'effort Tor Uplift, cette préférence rend Firefox plus résistant à la génération d'empreinte de navigateur.

3. privacy.trackingprotection.enabled = true

  • C'est la nouvelle protection contre le traçage  intégrée par Mozilla. Elle utilise la liste de filtres de Disconnect.me,  ce qui est redondant si vous utilisez déjà la liste de filtres tiers de  uBlock Origin, en conséquent vous devriez désactiver ce paramètre si  vous utilisez la fonctionnalité de l'extension.

4. browser.cache.offline.enable = false

  • Désactive le cache hors-ligne.

5. browser.safebrowsing.malware.enabled = false

  • Désactive la vérification de programmes  malveillants Google Safe Browsing. Un risque potentiel pour la sécurité  mais une confidentialité accrue.

6. browser.safebrowsing.phishing.enabled = false

  • Désactive la protection contre le hameçonnage  Google Safe Browsing and phishing protection. Un risque potentiel pour  la sécurité mais une confidentialité accrue.

7. browser.send_pings = false

  • L'attribut serait utile pour permettre aux sites de tracer les clics de ses visiteurs.

8. browser.sessionstore.max_tabs_undo = 0

  • Même si Firefox est configuré pour oublier  l'historique, vos onglets fermés sont conservés temporairement dans le  Menu -> Historique -> Onglets Récemment Fermés.

9. browser.urlbar.speculativeConnect.enabled = false

  • Désactiver le préchargement lors de  l'autocomplétion des URLs. Firefox précharge les URLs qui  s'autocomplètent quand un utilisateur tape dans la barre d'adresse, ce  qui est un problème si l'utilisateur ne veut pas visiter les URLs  suggérées. Source — Ghacks

10. dom.battery.enabled = false

  • Les propriétaires des sites web peuvent tracer l'état de la batterie de votre périphérique. Source — Reddit

11. dom.event.clipboardevents.enabled = false

  • Désactive la possibilité pour les sites web  d'être notifié lorsque vous copiez, collez ou coupez quelques chose sur  la page, leur indiquant quelle partie de la page a été sélectionnée.

12. geo.enabled = false

  • Désactive la géo-localisation.

13. media.eme.enabled = false

  • Désactive la lecture de contenu HTML5 protégé  par CDM, qui, si activé, télécharge automatiquement le module Widevine  Content Decryption fourni par Google Inc. Détails — Support de Mozilla
  • Le contenu protégé par CDM nécessitant les  extensions NPAPI Adobe Flash ou Microsoft Silverlight continueront  d'être lisibles, si elles sont installées et activées dans Firefox.

14. media.gmp-widevinecdm.enabled = false

  • Désactive le module Widevine Content Decryption  fourni par Google Inc., utilisé pour la lecture de contenu HTML5 protégé  par CDM. Détails — Support de Mozilla

15. media.navigator.enabled = false

  • Les sites internet peuvent tracer le status de la caméra et du microphone de votre appareil.

16. network.cookie.cookieBehavior = 1

  • Désactive les cookies
  • 0 = Accepter tous les cookies par défaut
  • 1 = Accepter seulement ceux qui viennent du site d'origine (bloque les cookies tiers)
  • 2 = Bloquer tous les cookies par défaut

17. network.cookie.lifetimePolicy = 2

  • Les cookies sont supprimés à la fin de la session
  • 0 = Accepte les cookies normalement
  • 1 = Demander pour chaque cookie
  • 2 = Accepte pour la session courante seulement
  • 3 = Accepter pour N jours

18. network.http.referer.trimmingPolicy = 2

  • Envoie seulement le schéma, l'hôte, et le port dans l'en-tête Referer
  • 0 = Envoie l'URL complète dans l'en-tête Referer
  • 1 = Envoie l'URL sans sa chaîne de requête dans l'en-tête Referer
  • 2 = Envoie seulement le schéma, l'hôte, et le port dans l'en-tête Referer

19. network.http.referer.XOriginPolicy = 2

  • Envoie seulement l'en-tête Referer quand le nom d'hôte complet correspond. (Remarque : si vous observez des pannes importantes, vous pouvez essayer 1 associé au réglage XOriginTrimmingPolicy ci-dessous.) Source — Feeding the Clouds
  • 0 = Envoie le Referer dans tous les cas
  • 1 = Envoie le Referer aux mêmes sites eTLD
  • 2 = Envoie le Referer seulement quand le nom d'hôte complet correspond

20. network.http.referer.XOriginTrimmingPolicy = 2

  • Quand on envoie un Referer interorigines, seulement envoyer le schéma, l'hôte, et le port dans l'en-tête Referer de la requête interorigines. Source — Feeding the Clouds
  • 0 = Envoie l'URL complète dans le Referer
  • 1 = Envoie l'URL sans la chaîne de la requête dans le Referer
  • 2 = Envoie seulement le schéma, l'hôte, et le port dans le Referer

21. webgl.disabled = true

22. browser.sessionstore.privacy_level = 2

  • Cette préférence contrôle quand enregistrer des  informations supplémentaires au sujet de la session: le contenu des  formulaires, les positions de la barre de défilement, les cookies et les  données POST. Détails — Mozillazine
  • 0 = Enregistre les données supplémentaires de session pour tous les sites. (Paramètre par défaut)
  • 1 = Enregistre les données de session supplémentaires pour les sites non-chiffrés (sans HTTPS) seulement.
  • 2 = Ne jamais enregistrer des données de session supplémentaires.

23. network.IDN_show_punycode = true

  • Ne pas afficher les IDNs puisque leur équivalent Punycode vous expose aux attaques par hameçonage pouvant être très difficiles à repérer. Source — Krebs on Security

24. extensions.blocklist.url = https://blocklists.settings.services.mozilla.com/v1/blocklist/3/%20/%20/

  • Limite le montant d'informations identifiables envoyées quand on demande à Mozilla la liste des extensions dangereuses.
  • Optionnellement, la liste de blocage peut être désactivée entièrement en paramétrant extensions.blocklist.enabled sur false afin d'améliorer la confidentialité au détriment de la sécurité. Source

25. network.trr.mode = 5

  • Firefox 60 a introduit une fonctionnalité appelée Trusted Recursive Resolver (TRR). Il contourne les serveurs DNS configurés dans votre système, en envoyant toutes les requêtes DNS via HTTPS aux serveurs Cloudflare. Bien que cela soit beaucoup plus sûr (puisque les requêtes DNS "classiques" sont envoyées en texte clair sur le réseau et que tout le monde peut les consulter en cours de route), cela rend également toutes vos requêtes DNS lisibles par Cloudflare, en fournissant des serveurs TRR.
  • Si vous faites confiance aux serveurs DNS que vous avez configurés vous-même plus que Cloudflare, vous pouvez désactiver TRR dans about:config en définissant network.trr.mode à 5 (une valeur de 0 signifie désactivé par défaut, et pourrait être remplacé par des mises à jour futures - une valeur de 5 est désactivé par choix et ne sera pas remplacée). Voir mon article sur l'installation d'un serveur DNSCrypt local.
  • Si vous faites confiance aux serveurs DNS Cloudflare et que vous préférez plus de confidentialité (grâce aux requêtes DNS chiffrées), vous pouvez appliquer TRR en réglant network.trr.mode sur 3 (qui désactive complètement les requêtes DNS classiques) ou 2 (qui utilise TRR par défaut, revient aux requêtes DNS classiques si cela échoue). Gardez à l'esprit que si vous utilisez des sites Web intranet ou si vous essayez d'accéder à des ordinateurs de vos réseaux locaux par leur nom d'hôte, l'activation de TRR peut briser la résolution des noms dans de tels cas.
  • Si vous voulez chiffrer vos requêtes DNS mais sans utiliser les serveurs Cloudflare, vous pouvez pointer vers un nouveau serveur DNS sur HTTPS en définissant network.trr.uri à votre URL de résolveur. Une liste des résolveurs actuellement disponibles peut être trouvée dans le wiki de curl, ainsi que d'autres options de configuration pour TRR.

Modèles renforcés de user.js

Plusieurs projets actifs maintiennent des configurations Firefox complètes sous la forme d'une configuration user.js qui peut être déposée dans le répertoire des profils Firefox :

Vous sélectionnez les fonctionnalités que vous voulez activer et désactiver, et à la fin vous obtenez un lien de téléchargement pour un fichier zip avec votre modèle de profil. Vous pouvez par exemple désactiver certaines fonctions, qui envoient des données à Mozilla et Google, ou désactiver plusieurs fonctions Firefox gênantes comme Mozilla Hello ou l'intégration Pocket.

Vous pouvez aussi directement télécharger un profil firefox endurci très radicalement ici dont vous subtituerai le continu à l'un de vos profil (certains sites pourraient ne pas fonctionner).

Voir plus loin

https://www.ghacks.net/2015/12/28/the-ultimate-online-privacy-test-resource-list/