Face à l'hégémonie du navigateur Chrome de Gooogle, la seule véritable alternative est Firefox. C'est un navigateur très rapide, open-source et respectueux un minimum de votre vie privée, cependant cela s'avère n'être pas suffisant pour échapper au pistage en ligne.
Nous allons aborder ici les moyens d'améliorer la confidentialité de ce navigateur à l'aide de divers paramétrages et de quelques extensions.
Empreinte du Navigateur
Lorsque vous visitez une page web, votre navigateur envoie toutes sortes d'informations sur votre configuration actuelle. Ainsi si la combinaison de toutes les informations disponibles sur votre navigateur est unique, il sera possible de vous identifier précisément parmis toute la masse d'utilisateurs d'internet et de vous pister à l'aide de cookies.
Certains outils permettant de quantifier relativement précisément dans quelle mesure votre configuration de navigateur est unique. Il vous sera dès lors possible d'adapter votre configuration à ce que la plupart des navigateurs déclarent, ou du moins de la faire paraître comme telle.
Vous devriez donc essayer d'utiliser les polices et les résolutions de navigateurs les plus communes, modifier votre agent utilisateur pour correspondre à ce que la majorité des utilisateurs ont. En effet, désactiver JavaScript, utiliser une distribution Linux, posséder un bloqueur de pub, etc. sont autant de choses permettant de vous identifier en vous faisant sortir du lot.
Cela ne veux pas dire pour autant qu'il faut revenir sur Windows, arrêtez d'utiliser Tor et activer Javascript partout. Il est heureusement possible de faire autrement.
Extensions
Agent Utilisateur

Il est possible de modifier son agent utilisateur correspondant à sa configuration appareil / navigateur / système d'exploitation en l'usurpant par un autre plus commun.
Je recommande d'utiliser l'agent utilisateur commun au navigateur Tor, car même s'il n'est pas si commun que cela, son utilisation massive permet de noyer les personnes utilisant le Tor Browser dans la masse.
Entrer donc cette chaîne dans le champ de l'extension User-Agent Switcher (cliquez sur le bouton d'édition manuelle).
Mozilla/5.0 (Windows NT 6.1; rv:60.0) Gecko/20100101 Firefox/60.0
Arrêter le traçage avec «Privacy Badger»

Privacy Badger est une extension de navigateur qui empêche les publicités et autres traqueurs tiers de tracer secrètement où vous allez et ce que vous regardez sur le web. Privacy Badger apprend sur les traqueurs à mesure que vous naviguez en expectant les requêtes des sites web vers les ressources externes. Soyez conscients que Google Analytics n'est pas considéré comme un tiers par Privacy Badger, ce qui signifie que Google Analytics ne sera pas bloqué si vous n'utilisez pas un autre bloqueur de publicités, comme uBlock Origin.
https://www.eff.org/privacybadger/
Bloquer les Publicités et les Traqueurs avec «uBlock Origin»

Un bloqueur à large spectre efficace, léger en mémoire, et qui peut pourtant charger et appliquer des milliers de filtres supplémentaires que les autres bloqueurs populaires existants. Il n'a aucune stratégie de monétisation et est complètement open source. Nous recommandons de l'utiliser avec Firefox mais uBlock Origin marche aussi sur les autres navigateurs comme Safarie, Opera et Chromium. À l'inverse d'Adblock Plus, uBlock Origin n'autorise pas les fameuses «publicités acceptables».
https://addons.mozilla.org/firefox/addon/ublock-origin/
Supprimer Automatiquement les Cookies avec «Cookie AutoDelete»

Supprime automatiquement les cookies quand ils ne sont plus utilisés par les onglets ouverts du navigateur. En plus des cookies, les sessions persistantes ainsi que les informations utilisées pour vous espionner seront purgées.
https://addons.mozilla.org/firefox/addon/cookie-autodelete/
Le Chiffrement partout avec «HTTPS Everywhere»

Une extension Firefox, Chrome et Opera qui chiffre vos communications avec la majorité des sites web, améliorant la sécurité de votre navigation. Une collaboration entre le projet Tor et l'Electronic Frontier Foundation.
https://www.eff.org/https-everywhere
Bloquer les Réseaux de Diffusion de Contenu (CDN) avec «Decentraleyes»

Émule les Réseaux de Diffusion de Contenu localement en interceptant les requêtes, récupérant la ressource requise et l'injectant dans l'environnement. Tout se passe instantanément, automatiquement, et aucune configuration n'est requise. Source code : GitLab (auto-hébergé).
https://addons.mozilla.org/firefox/addon/decentraleyes/
Les extensions suivantes demandent une bonne compréhension des différents paramètres et sont plutôt destiné à une utilisation assez avancée.
Arrêter les requêtes intersites avec «uMatrix»

Beaucoup de sites web intègrent des fonctionnalités autorisant les autres sites à vous traquer, comme les boutons Like de Facebook ou Google Analytics. uMatrix vous donne le contrôle sur les requêtes que les sites web font vers d'autres sites. Ce vous donne un contrôle plus grand et mieux ajusté sur les informations qui fuitent en ligne.
https://addons.mozilla.org/firefox/addon/umatrix/
Gérer ses paramètres de confidentialité avec «Privacy Settings»

Vous permet de modifier les paramètres de confidentialité intégré de Firefox très simplement via un menu dédié.
https://addons.mozilla.org/firefox/addon/privacy-settings/
Bloquer la prise d'empreinte via JavaScript avec «CanvasBlocker»

Ce module complémentaire permet aux utilisateurs d'empêcher les sites Web d'utiliser certaines API Javascript pour identifier. Vous pouvez peuvent choisir de bloquer les APIs entièrement sur certains ou tous les sites Web (ce qui peut casser certains sites Web) ou de falsifier l'API de lecture d'empreintes numériques.
https://addons.mozilla.org/firefox/addon/canvasblocker/
Fuite WebRTC
WebRTC est un protocole de communication s'appuyant sur JavaScript et qui a le défaut de pouvoir laisser fuiter votre véritable adresse IP malgré l'utilisation d'un VPN
Désactiver WebRTC dans Firefox
Il vous suffit de passer l'option "media.peerconnection.enabled" sur "false" dans la page about:config
.
Quelques précisions :
- Entrez `about:config dans la barre d'adresse de Firefox et pressez la touche entrée.
- Pressez le bouton « Je ferai attention, promis ! ».
- Cherchez "media.peerconnection.enabled"
- Faites un double clic sur l'entrée, la colone "Value" devrait désormais être sur "false"
- Faites de nouveau le test de fuite WebRTC.
Si vous voulez vous assurer que le moindre paramètre en rapport avec WebRTC est désactivé, modifiez ces paramètres :
- media.peerconnection.turn.disable = true
- media.peerconnection.use_document_iceservers = false
- media.peerconnection.video.enabled = false
- media.peerconnection.identity.timeout = 1
Maintenant vous pouvez être sûr à 100% que WebRTC est désactivé.
Configuration avancée
L'essentiel des modifications de configurations de Firefox s'effectueront dans la page about:config
. Après avoir pris connaissance de l'avertissement, vous pouvez rechercher parmis les différentes options et modifier leur valeur comme indiqué.
- privacy.firstparty.isolate = true
- Résultat de l'effort Tor Uplift, cette préférence isole toutes les sources d'identifiants de votre navigateur (ex: les cookies) de domaine principal, avec comme objectif de prévenir le traçage à travers les différents domaines.
2. privacy.resistFingerprinting = true
- Résultat de l'effort Tor Uplift, cette préférence rend Firefox plus résistant à la génération d'empreinte de navigateur.
3. privacy.trackingprotection.enabled = true
- C'est la nouvelle protection contre le traçage intégrée par Mozilla. Elle utilise la liste de filtres de Disconnect.me, ce qui est redondant si vous utilisez déjà la liste de filtres tiers de uBlock Origin, en conséquent vous devriez désactiver ce paramètre si vous utilisez la fonctionnalité de l'extension.
4. browser.cache.offline.enable = false
- Désactive le cache hors-ligne.
5. browser.safebrowsing.malware.enabled = false
- Désactive la vérification de programmes malveillants Google Safe Browsing. Un risque potentiel pour la sécurité mais une confidentialité accrue.
6. browser.safebrowsing.phishing.enabled = false
- Désactive la protection contre le hameçonnage Google Safe Browsing and phishing protection. Un risque potentiel pour la sécurité mais une confidentialité accrue.
7. browser.send_pings = false
- L'attribut serait utile pour permettre aux sites de tracer les clics de ses visiteurs.
8. browser.sessionstore.max_tabs_undo = 0
- Même si Firefox est configuré pour oublier l'historique, vos onglets fermés sont conservés temporairement dans le Menu -> Historique -> Onglets Récemment Fermés.
9. browser.urlbar.speculativeConnect.enabled = false
- Désactiver le préchargement lors de l'autocomplétion des URLs. Firefox précharge les URLs qui s'autocomplètent quand un utilisateur tape dans la barre d'adresse, ce qui est un problème si l'utilisateur ne veut pas visiter les URLs suggérées. Source — Ghacks
10. dom.battery.enabled = false
- Les propriétaires des sites web peuvent tracer l'état de la batterie de votre périphérique. Source — Reddit
11. dom.event.clipboardevents.enabled = false
- Désactive la possibilité pour les sites web d'être notifié lorsque vous copiez, collez ou coupez quelques chose sur la page, leur indiquant quelle partie de la page a été sélectionnée.
12. geo.enabled = false
- Désactive la géo-localisation.
13. media.eme.enabled = false
- Désactive la lecture de contenu HTML5 protégé par CDM, qui, si activé, télécharge automatiquement le module Widevine Content Decryption fourni par Google Inc. Détails — Support de Mozilla
- Le contenu protégé par CDM nécessitant les extensions NPAPI Adobe Flash ou Microsoft Silverlight continueront d'être lisibles, si elles sont installées et activées dans Firefox.
14. media.gmp-widevinecdm.enabled = false
- Désactive le module Widevine Content Decryption fourni par Google Inc., utilisé pour la lecture de contenu HTML5 protégé par CDM. Détails — Support de Mozilla
15. media.navigator.enabled = false
- Les sites internet peuvent tracer le status de la caméra et du microphone de votre appareil.
16. network.cookie.cookieBehavior = 1
- Désactive les cookies
- 0 = Accepter tous les cookies par défaut
- 1 = Accepter seulement ceux qui viennent du site d'origine (bloque les cookies tiers)
- 2 = Bloquer tous les cookies par défaut
17. network.cookie.lifetimePolicy = 2
- Les cookies sont supprimés à la fin de la session
- 0 = Accepte les cookies normalement
- 1 = Demander pour chaque cookie
- 2 = Accepte pour la session courante seulement
- 3 = Accepter pour N jours
18. network.http.referer.trimmingPolicy = 2
- Envoie seulement le schéma, l'hôte, et le port dans l'en-tête
Referer
- 0 = Envoie l'URL complète dans l'en-tête
Referer
- 1 = Envoie l'URL sans sa chaîne de requête dans l'en-tête
Referer
- 2 = Envoie seulement le schéma, l'hôte, et le port dans l'en-tête
Referer
19. network.http.referer.XOriginPolicy = 2
- Envoie seulement l'en-tête
Referer
quand le nom d'hôte complet correspond. (Remarque : si vous observez des pannes importantes, vous pouvez essayer1
associé au réglageXOriginTrimmingPolicy
ci-dessous.) Source — Feeding the Clouds - 0 = Envoie le
Referer
dans tous les cas - 1 = Envoie le
Referer
aux mêmes sites eTLD - 2 = Envoie le
Referer
seulement quand le nom d'hôte complet correspond
20. network.http.referer.XOriginTrimmingPolicy = 2
- Quand on envoie un
Referer
interorigines, seulement envoyer le schéma, l'hôte, et le port dans l'en-têteReferer
de la requête interorigines. Source — Feeding the Clouds - 0 = Envoie l'URL complète dans le
Referer
- 1 = Envoie l'URL sans la chaîne de la requête dans le
Referer
- 2 = Envoie seulement le schéma, l'hôte, et le port dans le
Referer
21. webgl.disabled = true
- WebGL est un risque potentiel pour la sécurité. Source — StackExchange
22. browser.sessionstore.privacy_level = 2
- Cette préférence contrôle quand enregistrer des informations supplémentaires au sujet de la session: le contenu des formulaires, les positions de la barre de défilement, les cookies et les données POST. Détails — Mozillazine
- 0 = Enregistre les données supplémentaires de session pour tous les sites. (Paramètre par défaut)
- 1 = Enregistre les données de session supplémentaires pour les sites non-chiffrés (sans HTTPS) seulement.
- 2 = Ne jamais enregistrer des données de session supplémentaires.
23. network.IDN_show_punycode = true
- Ne pas afficher les IDNs puisque leur équivalent Punycode vous expose aux attaques par hameçonage pouvant être très difficiles à repérer. Source — Krebs on Security
24. extensions.blocklist.url = https://blocklists.settings.services.mozilla.com/v1/blocklist/3/%20/%20/
- Limite le montant d'informations identifiables envoyées quand on demande à Mozilla la liste des extensions dangereuses.
- Optionnellement, la liste de blocage peut être désactivée entièrement en paramétrant
extensions.blocklist.enabled
surfalse
afin d'améliorer la confidentialité au détriment de la sécurité. Source
25. network.trr.mode = 5
- Firefox 60 a introduit une fonctionnalité appelée Trusted Recursive Resolver (TRR). Il contourne les serveurs DNS configurés dans votre système, en envoyant toutes les requêtes DNS via HTTPS aux serveurs Cloudflare. Bien que cela soit beaucoup plus sûr (puisque les requêtes DNS "classiques" sont envoyées en texte clair sur le réseau et que tout le monde peut les consulter en cours de route), cela rend également toutes vos requêtes DNS lisibles par Cloudflare, en fournissant des serveurs TRR.
- Si vous faites confiance aux serveurs DNS que vous avez configurés vous-même plus que Cloudflare, vous pouvez désactiver TRR dans about:config en définissant
network.trr.mode
à5
(une valeur de0
signifie désactivé par défaut, et pourrait être remplacé par des mises à jour futures - une valeur de5
est désactivé par choix et ne sera pas remplacée). Voir mon article sur l'installation d'un serveur DNSCrypt local. - Si vous faites confiance aux serveurs DNS Cloudflare et que vous préférez plus de confidentialité (grâce aux requêtes DNS chiffrées), vous pouvez appliquer TRR en réglant
network.trr.mode
sur3
(qui désactive complètement les requêtes DNS classiques) ou2
(qui utilise TRR par défaut, revient aux requêtes DNS classiques si cela échoue). Gardez à l'esprit que si vous utilisez des sites Web intranet ou si vous essayez d'accéder à des ordinateurs de vos réseaux locaux par leur nom d'hôte, l'activation de TRR peut briser la résolution des noms dans de tels cas. - Si vous voulez chiffrer vos requêtes DNS mais sans utiliser les serveurs Cloudflare, vous pouvez pointer vers un nouveau serveur DNS sur HTTPS en définissant
network.trr.uri
à votre URL de résolveur. Une liste des résolveurs actuellement disponibles peut être trouvée dans le wiki de curl, ainsi que d'autres options de configuration pour TRR.
Modèles renforcés de user.js
Plusieurs projets actifs maintiennent des configurations Firefox complètes sous la forme d'une configuration user.js
qui peut être déposée dans le répertoire des profils Firefox :
- pyllyukko/user.js
- ghacksuserjs/ghacks-user.js
- ffprofile.com (github) - générateur en ligne de fichier
user.js
Vous sélectionnez les fonctionnalités que vous voulez activer et désactiver, et à la fin vous obtenez un lien de téléchargement pour un fichier zip avec votre modèle de profil. Vous pouvez par exemple désactiver certaines fonctions, qui envoient des données à Mozilla et Google, ou désactiver plusieurs fonctions Firefox gênantes comme Mozilla Hello ou l'intégration Pocket.
Vous pouvez aussi directement télécharger un profil firefox endurci très radicalement ici dont vous subtituerai le continu à l'un de vos profil (certains sites pourraient ne pas fonctionner).
Voir plus loin
https://www.ghacks.net/2015/12/28/the-ultimate-online-privacy-test-resource-list/