Firefox 67 : Mozilla prévoit d'ajouter une nouvelle technique anti-fingerprinting appelée letterboxing,empruntée au navigateur Tor
Mozilla Firefox 67 pourrait embarquer une nouvelle technique anti-fingerprinting qui protège contre certaines méthodes de fingerprinting liées à la taille de la fenêtre. Rappelons que le fingerprinting, une technique d'identification et de pistage de l'internaute ou du mobinaute basée sur une empreinte numérique unique, les sites web peuvent avoir recours à des paramètres variés. Ils peuvent par exemple passer par l’énumération des plugins du navigateur, la variable “user-agent”, la liste des polices de votre système, etc.
La technique provient d'expériences conduites par les développeurs du navigateur Tor et fait partie du projet Tor Uplift amorcé en juillet 2016. L’objectif de ce projet est d’améliorer les fonctionnalités de protection de la vie privée de Firefox en s’appuyant sur celles de Tor.
Appelée "letterboxing", cette nouvelle technique ajoute des "espaces gris" sur les côtés d'une page Web lorsque l'utilisateur redimensionne la fenêtre du navigateur, lesquels sont ensuite supprimés progressivement une fois l'opération de redimensionnement de la fenêtre terminée.
Les réseaux de publicité détectent souvent certaines fonctionnalités du navigateur, telles que la taille de la fenêtre, pour créer des profils utilisateur et suivre les utilisateurs lorsqu'ils redimensionnent leur navigateur et se déplacent entre les nouvelles URL et les nouveaux onglets du navigateur.
L'idée générale est que "letterboxing" masquera les dimensions réelles de la fenêtre en conservant la largeur et la hauteur de la fenêtre à des multiples de 200px et 100px pendant l'opération de redimensionnement - en générant les mêmes dimensions de fenêtre pour tous les utilisateurs - puis en ajoutant un "espace gris". "en haut, en bas, à gauche ou à droite de la page en cours.
Le code publicitaire qui écoute les événements de redimensionnement de la fenêtre, puis lit les dimensions génériques, envoie les données à son serveur, et ce n’est qu’après que Firefox supprime les "espaces gris" à l’aide d’une animation fluide quelques millisecondes plus tard.
En d'autres termes, letterboxing retarde le remplissage de la fenêtre du navigateur récemment redimensionnée avec le contenu réel de la page suffisamment longtemps pour amener le code publicitaire à lire des dimensions de fenêtre incorrectes.
Letterboxing n'est pas une nouvelle technique. Mozilla est en train d’intégrer une fonctionnalité qui avait été initialement développée pour le navigateur Tor il ya quatre ans, en janvier 2015.
Une démonstration de la fonction anti-fingerprinting letterboxing est disponible ci-dessous, car elle a été développée pour la première fois pour le navigateur Tor:
Letterboxing est actuellement disponible dans Firefox Nightly et sera disponible en version stable pour tous les utilisateurs avec la sortie de Firefox 67 en mai.
Cependant, la fonctionnalité n'est pas activée par défaut. Les utilisateurs de Firefox devront d’abord se rendre sur la page about: config, entrer «privacy.resistFingerprinting» dans le champ de recherche, puis basculer les fonctions anti-fingerprinting du navigateur sur «true».
Le support Letterboxing de Firefox fonctionne non seulement lors du redimensionnement d'une fenêtre de navigateur, mais également lorsque les utilisateurs maximisent la fenêtre du navigateur ou passent en mode plein écran.
Selon une entrée de Bugzilla, voici comment la protection letterboxing de Firefox fonctionne dans ces deux états:
Envoyé par Mozilla
Lorsque l'utilisateur maximise la fenêtre, la fenêtre la plus grande possible est utilisée, à nouveau un multiple de 200 x 100. Les marges grises vides de la partie chromée de la fenêtre recouvrent le reste de l'écran. De même, en plein écran, la fenêtre de visualisation reçoit à nouveau des dimensions d'un multiple de 200 x 100 et les zones chromées qui l'entourent sont définies en noir.
Enfin, un zoom supplémentaire a été appliqué à la fenêtre d'affichage en mode plein écran et en mode maximisé pour utiliser au maximum l'écran et minimiser la taille des marges vides. Dans ce cas, la fenêtre avait une apparence "letterboxing" (marges en haut et en bas uniquement) ou "pillbox" (marges à gauche et à droite uniquement). window.devicePixelRatio était toujours falsifié à 1.0 même lorsque pixels du périphérique! = pixels CSS.
Enfin, un zoom supplémentaire a été appliqué à la fenêtre d'affichage en mode plein écran et en mode maximisé pour utiliser au maximum l'écran et minimiser la taille des marges vides. Dans ce cas, la fenêtre avait une apparence "letterboxing" (marges en haut et en bas uniquement) ou "pillbox" (marges à gauche et à droite uniquement). window.devicePixelRatio était toujours falsifié à 1.0 même lorsque pixels du périphérique! = pixels CSS.
Dans Firefox 52, les ingénieurs de Mozilla ont intégré un mécanisme pour protéger les utilisateurs du fingerprinting se basant sur la liste des polices de leur système. Le fingerprinting de polices repose sur les opérateurs de site Web déployant des scripts Flash ou JavaScript qui interrogent le navigateur de l'utilisateur pour obtenir une liste de polices installées localement.
Bien entendu, Firefox n’a pas bloqué les requêtes pour les polices système, mais répond désormais de la même manière à chaque requête, retournant une liste standard de polices installées par défaut sur chaque système d'exploitation. Cette liste blanche rend la technique de fingerprinting de polices non pertinente pour les utilisateurs de Firefox.
Depuis sa version 58, Firefox ne permet plus aux entreprises et aux sites web utilisant l’élément HTML canvas d’extraire des données sur les internautes sans le consentement de ces derniers. En effet, le navigateur avertit les utilisateurs quand un site web utilise cet élément HTML en soulignant à l’utilisateur le fait que cette balise HTML pourrait être utilisée uniquement à des fins d’identification de sa machine. L’extraction de cet élément pouvait se faire jusque là par les sites web de manière silencieuse.
Source : BugZilla
Des chercheurs développent une technique de fingerprinting permettant d'identifier à 99 % un internaute, même s'il se sert de plusieurs navigateurs La part de marché de Firefox augmente pour la deuxième fois consécutive en 2 mois, le navigateur libre pourrait-il survivre auprès de Chrome ? Firefox : Mozilla va ajouter le blocage du minage de cryptomonnaies et du fingerprinting à son navigateur Après Google, Mozilla se prépare à apporter l'isolation de site à son navigateur Firefox, avec son projet Fission
Vous avez lu gratuitement 4 articles depuis plus d'un an.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.
Soutenez le club developpez.com en souscrivant un abonnement pour que nous puissions continuer à vous proposer des publications.