Firefox 52 envisage de mieux protéger les utilisateurs contre le fingerprinting de polices système,
en se servant d'un mécanisme de liste blanche
Pour le fingerprinting, une technique d'identification et de pistage de l'internaute ou du mobinaute basée sur une empreinte digitale numérique unique, les sites web peuvent avoir recours à des paramètres variés. Ils peuvent par exemple passer par l’énumération des plugins du navigateur, la variable “user-agent”, la liste des polices de votre système, etc.
D’ailleurs, pour mesurer à quel point la collecte d’information à partir de votre navigateur est extrêmement facile, il suffit de vous rendre sur Panopticlick, un outil de mesure en ligne proposé par l’EFF qui vous permet de lancer des tests de votre niveau de pistage, même si le site prévient que « parce que les techniques de pistage sont complexes, subtiles et en constante évolution, Panopticlick ne mesure pas toutes les formes de pistage et de protection. ».
Dans la prochaine version de Firefox (Firefox 52), qui sera disponible le 07 mars prochain, les ingénieurs de Mozilla ont intégré un mécanisme pour protéger les utilisateurs du fingerprinting se basant sur la liste des polices de leur système. Le fingerprinting de polices repose sur les opérateurs de site Web déployant des scripts Flash ou JavaScript qui interrogent le navigateur de l'utilisateur pour obtenir une liste de polices installées localement.
En vous rendant sur un outil de mesure comme Panopticlick ou Browserprint, vous allez obtenir une liste de police système qui sont révélées aux sites. Avec Firefox 52, l’idée est de se servir d’un paramètre facultatif et configurable qui va vous permettre de restreindre l’accès aux polices. Ainsi, au lieu d’envoyer toutes les polices installées sur votre système d’exploitation, Firefox ne va renvoyer que les polices que vous avez inclus sur une liste blanche.
Notons que Firefox ne va pas bloquer les requêtes pour les polices système, mais il va répondre de la même manière à chaque requête, retournant une liste standard de polices installées par défaut sur chaque système d'exploitation. Cette liste blanche rend la technique de fingerprinting de polices non pertinente pour les utilisateurs de Firefox. Ce mécanisme de protection, qui est déjà présent dans le canal bêta, est actif depuis un moment déjà sur le Tor Browser.
Dans la grande majorité des cas, ce sont les régies publicitaires qui se servent de fingerprinting via des scripts cachés qui sont livrés avec des annonces. Les annonceurs peuvent alors prendre la liste des polices locales et, associée à d’autres détails de l’utilisateur, peuvent créer une empreinte numérique unique pour chaque utilisateur. Cette empreinte sera alors utilisé pour diffuser des annonces ciblées et / ou suivre les utilisateurs sur le web.
En juillet 2016, les ingénieurs Mozilla ont amorcé le projet Tor Uplift. L’objectif de ce dernier était d’améliorer les fonctionnalités de protection de la vie privée de Firefox en s’appuyant sur celles de Tor. Un mois plus tard, avec la publication de Firefox 48, Mozilla a fait un pas dans cette direction en bloquant une liste d’URL connues pour héberger des scripts de fingerprinting.
Source : Bugzilla, Tor Uplift
Et vous ?
Qu'en pensez-vous ? Cette initiative vous semble-t-elle suffisante pour combattre le fingerprinting de police système ?
Voir aussi :
Mozilla envisage de mettre fin au support de Firefox sur Windows XP et Vista, mais va fournir des mises à jour de sécurité jusqu'en septembre 2017
Partager