Nettoyer Firefox: Google le 8e passager

Depuis pas mal d’années maintenant, le navigateur libre Firefox bénéficie d’un financement de Google à 85% (chiffres de 2006).
Il s’agit de 57 millions d’euros, soit une somme non négligeable, apportant nécessairement la garantie d’une contrepartie.

C’est ainsi que le navigateur faisant figure de solution alternative se trouve être en réalité un relais de la politique de traçage de Google.

Comme Firefox reste un navigateur de qualité qui propose de nombreuses extensions garantissant un meilleur respect de la vie privée, nous allons, plutôt que de changer de navigateur, passer un coup de vermifuge sur le renard (c’est l’un des avantages des logiciels libres! S’il ne vous plaisent pas, modifiez-les!)

Note: Ce tuto concerne également, et à mon grand regret, les navigateurs dérivés (fork) de Firefox tels que Iceweasel (dans Gnu/Linux Debian) ou Icecat (du projet GNU).

Où se cache Google?

Firefox propose un outil pour gérer sa configuration. Beaucoup d’options sont modifiables par les menus mais pour certaines, il est nécessaire de passer par un autre biais.
Tapez about:config dans la barre d’URL (là où se trouvent habituellement les adresses des sites que vous visitez).
Vous allez accéder à un message d’avertissement vous prévenant des risques que peuvent comporter certaines manipulations pour le logiciel.
Cliquez sur « Je ferai attention, promis! », et faites attention! ;-)

Dans le cadre « filtre », tapez « Google ». Nous obtenons ainsi tous les champs dans lesquels il est présent:

  • browser.contentHandlers.types.2.title
  • browser.contentHandlers.types.2.uri
  • browser.safebrowsing.malware.reportURL
  • browser.safebrowsing.provider.0.gethashURL
  • browser.safebrowsing.provider.0.keyURL
  • browser.safebrowsing.provider.0.lookupURL
  • browser.safebrowsing.provider.0.name
  • browser.safebrowsing.provider.0.reportURL
  • browser.safebrowsing.provider.0.updateURL
  • browser.search.defaultenginename
  • browser.search.order.1
  • gecko.handlerService.schemes.mailto.1.uriTemplate
  • geo.wifi.uri
  • keyword.URL


Mais qu’est-ce qu’il fabrique?

Browser.contentHandlers.types.*.title et browser.contentHandlers.types.2.uri

Ces lignes définissent les propositions faites lors de l’abonnement à un flux RSS. Pas de soucis pour votre vie privée donc. Il suffit de ne pas se servir du service proposé par Google.

Browser.safebrowsing

Firefox télécharge plusieurs fois par heure une liste de sites malveillants fournie par Google. Le navigateur compare chaque site visité à cette liste.

  • browser.safebrowsing.malware.reportURL URL à laquelle renvoie le bouton « pourquoi ce site a été bloqué » lors d’une alerte.
  • browser.safebrowsing.provider.0.gethashURL Adresse à laquelle les demandes d’URL « hachées »* sont envoyées.
  • browser.safebrowsing.provider.0.keyURL Adresse de laquelle le navigateur reçoit les clés nécessaires pour les opérations cryptographiques (signature de mises à jour par exemple).
  • browser.safebrowsing.provider.0.lookupURL Adresse à laquelle sont soumis les sites afin de savoir s’ils sont légitimes
  • browser.safebrowsing.provider.0.name Nom du prestataire du service
  • browser.safebrowsing.provider.0.reportURL Adresse à laquelle est envoyé un rapport sur les sites malveillants consultés, ce que l’utilisateur a fait après que l’avertissement soit apparu)
  • browser.safebrowsing.provider.0.updateURL Adresse à laquelle les mises à jour de base de données «phishing / malware » sont demandées

*En théorie, les URL entières ne sont jamais communiquées à Google. Ce sont des petites parties qui le sont (hash).

On pourrait en principe penser que puisque les comparaisons avec la liste se passent en local (dans votre ordinateur), les contacts avec Google se limitent à la récupération de cette liste.
Mais c’est mal connaître Google que de penser qu’un service ne se « monnaie » pas:

  1. Google peut grâce à ce service, connaître les habitudes d’utilisation du navigateur. Avec l’adresse IP, ils se renseignent sur qui navigue, où (pays, ville: toujours  avec l’IP), quand (heures de chargement de la liste), et combien de temps (les intervalles de récupération de la liste sont assez peu espacés et permettent de savoir assez rapidement si l’internaute est déconnecté).
  2. Un  cookies tiers (qui est déposé par un autre domaine que celui contacté) est déposé sur votre ordinateur, et permet ainsi de vous retrouver lors de vos déplacements sur des services appartenant à l’entreprise.

Officiellement (et d’après la politique de confidentialité de Mozilla), aucune information concernant l’historique de navigation n’est communiqué.
Le cookie permet tout de même à Google de tracer vos déplacements si vous ne l’effacez pas (vous gardez le même cookie, mais avez une adresse IP différente).

Solution: Il semblerait qu’il suffise de demander à Firefox de refuser les cookie tiers pour régler une partie du problème:

  • Outils –> Options –> Vie privée –> Décochez accepter les cookies tiers
  • (et Mac OS X?) Édition –> Préférences –> Vie privée –> Décochez accepter les cookies tiers

Il est aussi possible de désactiver purement et simplement la fonction safe browsing:
Dans about:config, entrez ces champs dans le filtre et changez-en les valeurs:
browser.safebrowsing.enable: false
browser.safebrowsing.malware.enable: false
Ou alors dans les Préférences>Sécurité puis décochez « Bloquer les sites signalés comme étant… » (2 entrées)

Conséquences:
Pour les utlisateurs de Linux (et Mac OS X je suppose), une navigation avec no script devrait largement suffire. Il s’agira d’être tout de même un minimum vigilant en ce qui concerne le phishing, mais ça, c’est une règle générale.

Pour les utilisateurs de Windows, c’est un peu plus délicat. Ce système d’exploitation étant un paradis pour virus, il sera préférable de remplacer la protection désactivée.
Vous pourrez opter pour WOT (Web Of Trust) par exemple. Ça n’est pas la panacée en ce qui concerne l’anonymat puisque selon les conditions d’utilisation, des informations vous concernant pourront être récoltées. Mais c’est sans doute mieux que de donner tous ces renseignements à une seule et même entreprise majoritaire.
Soit dit en passant, si ces questions vous sont chères, je vous conseille de laisser Microsoft de côté! ;-)

browser.search.defaultenginename et browser.search.order.1

La première entrée concerne le moteur de recherche qui sera utilisé par défaut lorsque vous sélectionnez un mot et faites « rechercher avec *** sur le web » dans le menu contextuel (apparaît avec le clic droit).

La seconde définit le premier moteur de recherche apparent dans la barre de recherche à droite.

Solution: Vous pouvez modifier la première dans about:config en insérant l’URL du moteur de votre choix et la seconde de la même manière, ou plus simplement en cliquant sur la barre de recherche  puis en faisant « Gérer les moteurs de recherche » (cette dernière option semble être prioritaire sur la première. Le moteur « actif » influe également sur celui présent dans le menu contextuel).

gecko.handlerService.schemes.mailto.1.uriTemplate

Cette ligne définie le web mail à utiliser lorsque vous cliquez sur une adresse mail (mailto) dans une page.

Geo.wifi.uri

Ici, ça concerne la géolocalisation. Dans certains cas, les sites web peuvent demander à votre navigateur de révéler certaines informations sur vous afin d’affiner leurs réponses.
Ce peut-être le cas de Google Map par exemple. Honnêtement, c’est loin d’être indispensable!

Là encore, c’est un service de « nos amis » qui est intégré: Google Location Services. Celui-ci utilise:

  • Votre adresse IP
  • Des informations concernant les points d’accès wifi aux alentours
  • Un cookie Google expirant toutes les deux semaines

Solution: En principe, Firefox vous demandera toujours votre autorisation avant d’autoriser ce service.
Si vous n’avez pas confiance, vous pouvez donc changer « enable geo » de « true » à « false » dans about:config.

Keyword.URL

Quand vous tapez des mots-clés dans la barre d’URL, vous avez peut-être remarqué qu’elle se comportait comme un moteur de recherche. Selon les personnes, certains préféreront taper les adresses et les recherches dans la même barre.
Mais si vous souhaitez faire une requête, il vous faut un moteur de recherche! Devinez lequel est utilisé dans cette barre? Google!

Solution: Vous pouvez donc modifier le champ keyword.url par votre moteur de recherche respectueux de la vie privée préféré. Vous pouvez relire mon article à ce sujet si vous êtes en manque d’inspiration!



Et pour la route…

Les suggestions de recherche

Lorsque vous tapez des mots-clés dans la barre de recherche et que Google est le moteur utilisé (si vous osez encore faire ça sans protection! :-P), des termes sont proposés pendant que vous tapez. À chaque caractère tapé, vous envoyez des informations à Google et cela sans même avoir enfoncé la touche « Enter ».

Il n’est peut-être pas nécessaire de d’enrichir là encore les bases de Google. Pour y remédier, rien de plus simple (enfin si, rien faire peut-être!) :
Clic droit dans la barre, puis décochez afficher les suggestions. Hop!

La page d’accueil

Pour fignoler, on pourra également changer la page d’accueil de Firefox et mettre à la place votre navigateur favori, ou n’importe quelle autre page web.
Pour cela, il suffit de retourner dans les Préférence>Général, et de taper l’URL de la page que vous souhaitez.
Plus simplement encore, il suffit de glisser l’onglet correspondant à la page voulue, et de le faire glisser sur le raccourci qui mène à la page d’accueil (la petite maison en général).


Pioche un article au hasard!

Ou sur une thématique proche

Bookmarquez le permalien.

5 Comments

  1. Rétrolien:Révolte Numérique » Nettoyer Firefox: Google le 8e passager | Firefox | Scoop.it

  2. Merci de ces infos claires et complètes.
    Je reviendrai

  3. super article très utile

    merci beaucoup

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée.


cinq + = 10

Vous pouvez utiliser ces balises et attributs HTML : <a href="" title=""> <abbr title=""> <acronym title=""> <b> <blockquote cite=""> <cite> <code> <del datetime=""> <em> <i> <q cite=""> <strike> <strong>