Firefox étend sa protection contre le fingerprinting du navigateur

 (blog.mozilla.org)
1 points par GN⁺ 2025-11-12 | 1 commentaires | Partager sur WhatsApp
  • Firefox 145 déploie une importante mise à niveau de confidentialité pour bloquer le suivi par fingerprinting du navigateur
  • Le fingerprinting combine des détails comme le fuseau horaire et les paramètres du système d’exploitation pour créer un identifiant unique, ce qui permet d’identifier l’utilisateur même avec les cookies bloqués ou en mode privé
  • Les nouvelles protections sont d’abord activées en mode Private Browsing et en mode ETP Strict, en s’appuyant sur les résultats d’une analyse mondiale basée sur des données réelles d’utilisateurs
  • Grâce à ce système de défense amélioré, la proportion d’utilisateurs pouvant être fingerprintés a été réduite de moitié, avec une architecture de protection multicouche qui limite le suivi sans dégrader les fonctionnalités du Web
  • Firefox vise une protection intelligente de la vie privée fonctionnant automatiquement, afin d’offrir aux utilisateurs un environnement où ils peuvent reprendre le contrôle du Web sans extension supplémentaire

Principaux renforcements de la confidentialité dans Firefox 145

  • Firefox 145 inclut une importante mise à niveau destinée à bloquer le fingerprinting du navigateur
    • Le fingerprinting collecte des détails du système de l’utilisateur pour créer un identifiant numérique unique
    • Il permet d’identifier l’utilisateur même lorsque les cookies sont bloqués ou pendant une navigation privée
  • Mozilla fait de la construction d’un écosystème Web sain et transparent un objectif de long terme, et cette mise à jour s’inscrit dans cette démarche
  • Après Enhanced Tracking Protection (ETP) et Total Cookie Protection, Firefox étend désormais ses défenses contre le fingerprinting

Fonctionnement et risques du fingerprinting

  • Le fingerprinting combine des informations d’environnement très fines, comme le fuseau horaire, le système d’exploitation ou les paramètres graphiques, pour produire une « empreinte » unique
  • Cette empreinte est reconnue de manière identique d’un site à l’autre et d’une session à l’autre, ce qui permet un suivi persistant et invisible
  • Des acteurs malveillants peuvent ainsi suivre un utilisateur pendant une longue période sans son consentement, et l’identifier pendant plusieurs mois même en mode privé

Structure du système de défense renforcé

  • Mozilla a développé ce nouveau système de défense à partir d’une analyse mondiale des données de navigation réelles des utilisateurs
    • Firefox est présenté comme le premier navigateur à avoir mis en œuvre un tel niveau d’analyse et de protection
  • Les nouvelles protections sont d’abord activées en mode Private Browsing et en mode ETP Strict, avant une extension prévue aux paramètres par défaut
  • Ce système de défense a permis de réduire de moitié la proportion d’utilisateurs pouvant être fingerprintés

L’approche de protection multicouche de Firefox

  • En plus du blocage des scripts de suivi, Firefox limite aussi les informations elles-mêmes transmises aux sites Web
    • Exemple : les informations sur le matériel graphique sont nécessaires pour l’optimisation des jeux, mais peuvent aussi être détournées à des fins de suivi
  • Depuis 2021, Firefox protège progressivement les principaux éléments servant au fingerprinting, comme le rendu graphique, les polices et les méthodes de calcul mathématique
  • Les versions récentes renforcent la protection des polices et bloquent l’exposition de détails matériels comme le nombre de cœurs du processeur, le nombre de points de contact tactiles ou la taille de la barre des tâches
  • Selon les recherches de Mozilla, ces améliorations ont réduit d’environ moitié la part des utilisateurs reconnus comme uniques

Équilibre entre fonctionnalités du Web et protection de la vie privée

  • Firefox accorde une grande importance à l’équilibre entre la perturbation du fingerprinting et le maintien des fonctionnalités du Web
    • Par exemple, les calendriers ou les outils de visioconférence ont besoin du fuseau horaire réel
  • Firefox bloque donc uniquement les voies de collecte les plus sensibles, tout en conservant les fonctions indispensables
  • Si un problème survient sur un site donné, l’utilisateur peut désactiver la protection uniquement pour ce site
  • L’objectif est d’offrir une protection forte de la vie privée sans dégrader l’expérience utilisateur

Plans à venir et contrôle de l’utilisateur

  • En utilisant le mode Private Browsing ou le mode ETP Strict, Firefox applique déjà des protections contre le suivi en arrière-plan
  • Cette étape constitue un jalon important vers un système de protection intelligent fonctionnant automatiquement, sans extension ni réglage supplémentaire
  • Mozilla continuera à renforcer l’expérience Web centrée sur l’utilisateur et la protection de la vie privée
  • En passant à la dernière version de Firefox, les utilisateurs peuvent reprendre directement le contrôle de leur vie privée en ligne

À lire aussi

1 commentaires

 
GN⁺ 2025-11-12
Avis Hacker News

  • J’utilise toujours uniquement la navigation privée, mais je sais qu’elle n’est pas très efficace contre le pistage
    Je suis donc heureux de voir que ce type de fonctionnalité commence enfin à être déployé
    Il faut beaucoup trop d’efforts pour naviguer anonymement, et les entreprises essaient de contourner ce choix même quand je refuse d’être suivi
    Rien que cette attitude en dit long sur leur nature — un comportement cupide et opaque
    J’aimerais que les États interdisent tout simplement le pistage dès lors qu’on refuse les cookies, mais en pratique les entreprises feront probablement du lobbying contre ce type de protection dans Firefox

    • L’extension « Temporary Containers » correspond exactement à ce cas d’usage
      On peut séparer les sites personnels où l’on se connecte, les conteneurs de suivi, et les conteneurs temporaires qui disparaissent à la fermeture
      Lien vers l’extension Temporary Containers
    • Au lieu de la navigation privée, il est aussi intéressant d’utiliser la fonction de profils. Chaque profil est géré de manière totalement séparée
    • On peut aussi utiliser Tor. J’aimerais juste qu’il existe un moyen de créer un compte Reddit
    • J’aimerais voir apparaître des « petits employés mais consciencieux »
      Les développeurs qui implémentent des fonctions portant atteinte à la vie privée pour de l’argent font eux aussi partie de la structure de ces entreprises
      D’innombrables travailleurs dans des zones grises soutiennent ce système
    • Le RGPD européen traite déjà de ce problème
      Il impose un consentement non seulement pour les cookies, mais plus largement pour la collecte de données personnelles
      Des lois similaires apparaissent aussi dans d’autres régions aujourd’hui

  • C’est une bonne décision que Firefox consacre des ressources à ce type de fonctionnalité
    Cela dit, avec sa faible part d’utilisateurs, il est désavantagé en matière de fingerprinting de navigateur

    • Quelqu’un a déjà montré à quel point les statistiques sur les navigateurs peuvent être faussées
      Safari et Firefox sont mal captés par les outils d’analyse, donc ils paraissent moins importants qu’ils ne le sont réellement
      Confondre les statistiques côté client et côté serveur peut produire un écart considérable
    • Même si je suis suivi, je considère que la sécurité est plus importante
      Avec NoScript et uBlock ensemble, on est protégé contre le malvertising
      Exemples de malvertising sur Wikipédia
    • Il m’arrive de penser que mon User Agent aide à m’identifier
      Me faire passer pour Chrome/Windows serait meilleur pour la confidentialité, mais si tout le monde faisait ça, on aurait l’impression que les utilisateurs de Firefox ou de Linux ont disparu
      Je veux montrer que les utilisateurs de Firefox et de Linux existent
    • Si l’on ne bloque pas complètement l’empreinte, cela peut au contraire accentuer encore davantage les éléments distinctifs

  • J’avais déjà essayé une extension qui créait un « nouveau profil aléatoire pour chaque onglet », et ça cassait complètement les algorithmes de suivi
    En revanche, la connexion aux sites se cassait souvent, donc j’ai fini par arrêter de l’utiliser

  • En ce moment, les sites protégés par Cloudflare ne fonctionnent pas bien avec Firefox
    Du coup, j’ai fini par ne plus visiter ces sites, mais j’ai l’impression que ce combat sera perdu au final

    • Je pense que le widget de sécurité de Cloudflare a nui à l’ensemble d’Internet. Il faut proposer autre chose
    • Je me demande quels sont exactement les symptômes. Est-ce que cela n’arrive qu’avec le mode de protection agressif de Cloudflare ? Je n’utilise que Firefox et je n’ai pas remarqué de problème
    • Je n’utilise que Firefox via Mullvad VPN, et je n’ai jamais eu de souci avec Cloudflare ou les CAPTCHA
    • Il est très probable que le problème que tu rencontres soit lié à un réglage particulier. Ce n’est pas le cas de tous les sites Cloudflare avec Firefox

  • Quand j’ai testé autrefois sur fingerprint.com, même avec resistFingerprinting et un VPN, le hash changeait à peine
    Il ne changeait qu’en changeant de profil, alors qu’en 2021 il changeait à chaque redémarrage

    • fingerprint.com a probablement renforcé son algorithme de détection
      Dans mon cas, il me reconnaît comme le même profil pendant quelques jours, puis soudain comme un « nouvel utilisateur »
      Je ne sais pas s’il y a une politique de TTL
      En revanche, avec Mullvad Browser, on dirait que je suis regroupé avec des utilisateurs aléatoires du monde entier

  • Ce qui a le plus d’effet sur mon empreinte, c’est la taille du canvas
    À cause d’un réglage personnalisé adapté au plein écran, j’ai une taille unique
    La protection de Firefox ouvre les nouvelles fenêtres à une taille par défaut, mais avec ma configuration de barre d’outils cela reste encore unique
    J’aimerais qu’il existe une fonction ajoutant une marge d’erreur aléatoire d’environ 5 à 10 pixels par conteneur

    • Pour bloquer l’empreinte du canvas,
      dans about:config, il suffit de mettre privacy.resistFingerprinting à true,
      puis privacy.resistFingerprinting.letterboxing à true
      Cela force une taille commune et ajoute des bordures grises de letterboxing
    • Maintenant je comprends aussi pourquoi je me retrouvais bloqué par des limitations de paywall
      J’utilisais Tree Style Tab, ce qui créait un ratio d’écran inhabituel
      Je compte faire des essais en ajustant la largeur

  • J’ai regardé la liste des éléments protégés contre le fingerprinting de Firefox (lien vers la documentation officielle)
    C’était assez surprenant du point de vue d’un développeur. En particulier, la falsification des données canvas me semble assez radicale

    • C’est vraiment le genre de situation qui donne l’impression d’un « monde où l’on ne peut pas avoir de bonnes fonctionnalités »

  • Je trouve dommage que Firefox casse par défaut les sites qui utilisent l’API canvas imageData
    Comme rien ne demande l’autorisation à l’utilisateur, il est difficile de proposer un mécanisme de consentement

    • Je serais curieux de savoir quels sites sont touchés

  • J’utilise déjà CanvasBlocker, Decentraleyes et NoScript Security Suite
    J’aimerais voir encore plus de protections ajoutées, mais il faudra sans doute du temps avant qu’elles arrivent dans Waterfox

    • Mais ce genre d’extensions supplémentaires peut au contraire rendre le suivi plus facile
      Bloquer le canvas, désactiver JS, faire des requêtes réseau inhabituelles, tout cela augmente l’entropie d’identification
      C’est aussi pour cette raison que le projet Tor ne recommande pas d’installer de bloqueur de pub
    • Moi aussi, j’avais autrefois accumulé toutes sortes de réglages anti-pistage, mais les sites cassaient trop souvent, alors j’ai fini par abandonner
      L’important est de trouver un équilibre entre utilisabilité et niveau de protection

  • Je pense que la méthode consistant à ajouter du bruit aux images est risquée
    Si l’on implémente des fonctions d’édition d’image en JavaScript, les données peuvent être altérées

    • Cela dit, d’après l’article, cette fonctionnalité peut être désactivée site par site