Modules de sécurité pour Firefox

categories:

Le grand avantage de Firefox est la possibilité d'ajouter des extensions («add-ons» ou «modules additionnels»). Il y a des tonnes de modules mais seuls quelques-uns sont vraiment essentiels, selon moi. Voici mon choix qui remplace deux anciens articles.

Ah, les cookies !

Avant d'installer des modules, assurez-vous que les cookies ne vous espionnent pas. Et même si uMatrix peut bloquer les cookies, il ne le fait pas par défaut.

Pour cela, allez voir Vie privée - Firefox 3.5 à Firefox 5. Cet article est toujours valable pour les derniers Firefox (jusqu'à 40 ou 41 au moins), même si les «Préférences» de Firefox ne s'affichent plus par défaut dans une fenêtre indépendante : Les préférences de Firefox 37 dans un onglet.

uBlock Origin

uBlock Origin est un module qui remplace d'abord avantageusement AdBlock Edge en bloquant les pubs, et qui va bien plus loin.

Le mieux est de l'utiliser au début avec RequestPolicy et NoScript.

uBlock Origin bloque toutes les pubs mais, selon votre choix, il peut aussi bloquer les images, les scripts, les «frames», du site que vous visitez ou des sites tiers (qui se cachent derrière celui que vous visitez). Il peut ainsi vous paraître faire double emploi avec RequestPolicy et NoScript.

Cependant, RequestPolicy expose de manière plus directe et plus simple les appels aux sites tiers et NoScript est bien plus complet que uBlock Origin.

RequestPolicy

RequestPolicy vous indique à quels sites tiers fait appel la page que vous visitez. Vous verrez comment n'importe quel site fait appel à un ou plusieurs services de Google pour afficher de la pub mais aussi inclure du code et des polices de caractères.

De nombreux webmestres sont trop faignasses pour mettre eux-mêmes leur propre code (Ajax, JS) ou des polices de caractères (ce qui n'est vraiment pas essentiel puisque votre Firefox sait bien sûr afficher de la typo, celle qui est disponible sur votre ordinateur). Évidemment, Arial ou Times New Roman, c'est dégueu, mais M$ fournit maintenant de nouvelles typos qui sont très convenables.
Néanmoins, si vous tenez à afficher telle police sur votre site web, installez-la vous-mêmes, au lieu de laisser Google espionner vos visiteurs.

RequestPolicy vous permet d'autoriser temporairement ou pour de bon tel ou tel site tiers. À vous de choisir.

Ici, sur Libre-Fan, avec RequestPolicy, les images n'apparaissent pas car elles sont accessibles par une URL différente du texte lui-même. Comme ce site est entièrement chez TuxFamily (textes et images), vous ne risquez rien à autoriser les appels de librefan.eu.org à download.tuxfamily.org.

Sur un site comme lemonde.fr, vous pouvez vous passer des photos car elles n'apportent en général rien du tout. Et pour lire agréablement une horrible page HTML à l'ancienne, voyez Où s'en va Firefox ?

NB : RequestPolicy est remplacé par RequestPolicy Continued mais ce dernier n'a pas la clarté du premier.

NoScript

NoScript est tout à fait indispensable mais c'est un module très complèt et qui peut vous paraître compliqué. En fait, il bloque tout le JavaScript et d'autres scripts néfastes inclus dans les pages web qui peuvent faire des ravages sur vos ordinateurs et qui sont souvent des atteintes à la vie privée.

Avec NoScript et RequestPolicy, la plupart des sites web ne sont pas amusants du tout. Pages HTML à l'ancienne, sans image, du texte, du texte, du texte (et de l'hypertexte).

Ici, sur Libre-Fan, avec NoScript simplement, il ne vous manquera que le menu déroulant (bandeau en haut de page, sous la bannière), c'est-à-dire que vous ne verrez que le premier menu et pas les sous-menus.

Il faut donc vous habituer à regarder ce que bloque NoScript et débloquer prudemment ce qui vous bloque vraiment.

L'intérêt de NoScript est que même si vous autorisez un domaine (tuxfamily.org, par exemple, qui est sans chausses-trappe), NoScript bloquera les éléments les plus dangereux.

Il vaut mieux vérifier la liste blanche dans les «Options» de NoScript. Elle est trop permissive, selon vos usages. À vous de supprimer ce qui vous dérange (Google, etc.). Récemment, NoScript a nettoyé sa liste blanche car elle permettait justement certaines choses néfastes.

Vous pouvez aussi utiliser NoScript pour forcer une connexion sécurisée (HTTPS) sur tel ou tel site. Comme je trouve que HTTPS-Everywhere ne fonctionne pas bien, NoScript me va très bien. Par exemple, sur un de mes sites network23.org/nogazschiste, NoScript m'a permis d'afficher les images qui restaient invisibles car la connexion en HTTPS ne se faisaient pas sur les images.

uMatrix

C'est un même auteur, Raymond Hill (= gorhill), qui fait les deux extensions, uBlock Origin et uMatrix.

Si vous avez bien compris le mode d'emploi de uBlock Origin qui est bien fait, (sur github) et que vous vous êtes bien exercés à bloquer les trucs indésirables, vous pouvez vous passer de RequestPolicy.

Ensuite, vous pouvez passer à uMatrix qui est bien plus complet, très sophistiqué et bien plus intéressant. Prenez bien le temps de faire des essais. Par défaut, uMatrix vous défend de tout, donc au moins, vous êtes tranquilles. Ce peut être un peu long de comprendre quoi autoriser sans faire de gaffes mais suffisamment pour voir la page de tel ou tel site. Tout dépend aussi des sites que vous fréquentez : il est plus simple d'afficher Libre-Fan sans danger et lemonde.fr pour lire les articles qu'afficher correctement Youtube Icon wink J'ai choisi de ne jamais aller sur Youtube et de télécharger les vidéos issues de Youtube et incluses dans des sites avec Youtube-dl : Youtube-dl pour éviter l’espionnage de YouTube (sur Liberté GNU/Linux).

uMatrix doit pouvoir remplacer uBlock et RequestPolicy mais elle ne remplace pas NoScript complètement.

En tous cas, uMatrix est une extension qu'il vaut vraiment la peine de découvrir et d'apprivoiser. Vous pouvez aussi l'utiliser très simplement car par défaut, elle bloque tous les trucs potentiellement indésirables et dangereux. Elle laisse passer les images par défaut (ce que n'est pas toujours désirable selon le serveur d'origine des images) et l'apparence du site (CSS = couleurs, présentation, etc.).

Le duo uBlock Origin et NoScript pour les initiés

Si vous êtes bien à l'aise avec uBlock Origin, lâchez RequestPolicy et passez au duo uBlock Origin et NoScript.

Avec Firefox, ce duo devrait être suffisant. uMatrix a été fait initialement pour le navigateur de Google, Chrome, qui est rempli d'espionnage, pour pallier à l'absence de NoScript qui ne fonctionne qu'avec Firefox et ses dérivés tout proches (Iceweasel, Abrowser, Icecat, TorBrowser).

Voici un article en 3 ou 4 parties à suivre sur Liberté GNU/Linux :
[Firefox] Comment utiliser uBlock Origin – 1. Bonne lecture Smile

Le trio pour les pros du surf

NoScript, uBlock et uMatrix font un bon trio mais les réglages de NoScript prennent le dessus. Donc, il faut désactiver le blocage des scripts dans NoScript.
NoScript est indispensable pour protéger votre navigation de trucs comme XSS, ClickJacking, etc. Reportez-vous au site de NoScript pour en savoir davantage.

L'ironie de uMatrix et de uBlocko

uMatrix figure en version stable dans les modules officiels de Mozilla mais si vous voulez installer la version bêta, il faut le faire à partir de la plateforme Github. C'est le lieu où des tonnes de logiciels libres sont hébergés.

Le hic, c'est que Github est une plateforme propriétaire qui, de plus, engrange certains programmes sur les serveurs d'Amazon (cloud). C'est le cas de uMatrix.

L'ironie, c'est donc que ce programme libre, fait pour protéger votre vie privée sur le web, est hébergé sur une plateforme qui vous espionne. Pour télécharger l'extension, vous devez aller chez Amazon qui récupère ainsi votre IP et sans doute d'autres renseignements.

Vous ne verrez rien peut-être si vous n'avez pas du tout appris à être méfiants, car GitHub ne vous dit rien de son CDN chez Amazon.

Et le CDN de Mozilla où sont hébergés les add-ons ? Il n'appartient pas à Mozilla, qui fait appel à une société extérieure.

Et enfin, le forum wilderssecurity.com qui accueille les longues discussions sur uBlocko et uMatrix est fait avec un logiciel propriétaire. Ça ne gêne personne, bien sûr.

RefControl

Je trouve que RefControl est une extension utile et simple. Par défaut, je bloque tous les «Referers» [sic] et je fais une liste blanche pour quelques sites. Reportez-vous à Wikipédia pour savoir ce qu'est un «Referer» (HTTP Referrer).

Si peu d'extensions ? Et les autres ?

Il est inutile d'accumuler les modules sur Firefox, cela ne fait que l'alourdir et plus il y a de modules, plus il y a un risque que l'un d'entre eux contienne une faille de sécurité.

Pas mal de gens apprécient les modules faits par l'EFF (Electronic Frontier Freedom), comme HTTPS-Everywhere ou PrivacyBadger. Le premier ne fonctionne plus chez moi et le deuxième ne vaut pas la peine d'être installée. NoScript ou uMatrix sont bien supérieurs.

Laissez tomber aussi Ghostery qui est un module privateur. Il n'a qu'un atout pour les débutants complets : il est pédagogique en vous affichant sous le nez la longue liste des sites tiers qui vous espionnent. Mais quelle est son utilité, comparée à NoScript, RequestPolicy, uBlock O. et uMatrix, qui, eux, sont sous licence libre ?

Disconnect m'a paru être un module totalement nul : il ne fait pratiquement rien.

Lightbeam : les sites vous suivent-ils à la trace ?

Le module fait par Mozilla, Lightbeam, peut être amusant et instructif. Vous pouvez le désactiver ou le supprimer après vos essais.

Lightbeam vous permet de voir si les sites vous suivent à la trace. Sans aucun des bons modules comme NoScript etc., vous verrez que chaque site que vous visitez n'est pas une petite boule perdue dans l'univers mais mais qu'elle est rattachée à bien d'autres petites boules par des fils. Chaque fil est le signe qu'un site tiers a récupéré des informations sur vous lors de votre visite sur un site tout à fait différent.

Avec les quelques modules conseillés ici, vous devriez n'avoir que des liaisons autorisées, comme par exemple, librefan.eu.org et tuxfamily.org.