Web Cybersécurité

Cet hiver, pensez à sortir couvert sur Internet

Aujourd'hui nous vous proposons un catalogue des meilleures solutions disponibles pour vous protéger durant votre navigation sur Internet. À déguster, à appliquer, à tester, à compléter.

Cet article sera orienté uniquement sur les modules complémentaires (aussi appelés communément extensions) que l'on peut ajouter à son navigateur web.
La plupart du temps celles-ci sont gratuites, et ce sera effectivement le cas de celles proposées ici.

Comme il en existe pléthore, sont regroupées ci-dessous celles ayant faites leurs preuves, car généralement utilisées par la communauté composée des surfeurs les plus avérés.

Sauf indication contraire, il sera supposé que les solutions proposées sont compatibles pour les navigateurs courant (Chromium / Google Chrome, Mozilla Firefox, Opera / Vivaldi et Safari).

Internet Explorer (ou Edge maintenant si vous préférez) est volontairement omis, car trop changeant depuis une dizaine d'années. Il est dur pour la plupart des développeurs de fournir des versions compatibles pour ce navigateur.
Si vous êtes malheureusement dans ce cas, nous vous conseillons fortement de migrer vers Firefox, et non de tomber dans la facilité d'une solution propriétaire telle que Google Chrome.

Rentrons donc maintenant dans le vif du sujet, et débutons par un module dont vous avez déjà sûrement entendu parler :

uBlock Origin, ou : "L'art de bloquer les publicités"

Quoi de mieux qu'un bloqueur de publicités très efficace pour commencer ?
Ce module dont les listes de contenu sont mises à jour quotidiennement vous épurera déjà grandement les pages web sur lesquelles vous naviguez.

Le principe est simple : se baser sur une "liste noire" d'adresses des contenus considérés comme malveillants et ou à titre commercial.

Le module vous permettra également de bloquer un tas d'autres choses, mais disons que sa simple installation suffira dans 95% des cas.

D'un point de vue plus philosophique, il se trouve que ce type de modules (coucou AdBlock Plus) pose de vrais problèmes au niveau des sites se basant sur du contenu publicitaire pour se rémunérer quand ce n'est pas du minage de cryptomonnaies en JavaScript.
Mais l'idée ici n'était pas de relancer cet éternel débat sur est-ce que oui ou non il faut mettre de la publicité sur son site. Juste en passant, uBlock Origin ne vous servira pas vraiment sur Geek Mexicain #noAdForever ;)

Dans la lignée des deux derniers articles sur la vie privée, sâchez tout de même que ne pas charger des contenus externes telles que les publicités sera déjà bénéfique dans tous les cas.

Donc pour résumer :

  • Navigation plus sécurisée (moins de contenus considérés comme malveillants car bloqués)
  • Navigation plus rapide (moins de contenu à charger / afficher)
  • Navigation plus "sûre" (moins de traqueurs au moyen des annonces)

Disponible uniquement pour Firefox, Chome & Safari !

Cet hiver, pensez à sortir couvert sur Internet | uBlock Origin en action sur LeMonde.fr !

uBlock Origin en action sur LeMonde.fr !

Ghostery, ou : "L'efficacité controversée"

Si vous avez des grands-parents (ou des parents) qui ne veulent pas trop se prendre la tête, mais que vous tenez quand bien même à "protéger" digitalement, disons que Ghostery pourrait être la solution (si couplé à uBlock ci-dessus).

Celui-ci agit un peu comme uBlock, mais en étant plus orienté sur les traqueurs anti-"vie privée" (tels que Google Analytics ou bien Matomo), et moins sur certaines publicités.

Il vous bloquera également les appels externes se chargeant d'intégrer des ressources comme Disqus. Le design du module et sympathique ainsi qu'ergonomique, mais cela ne fait pas tout, encore plus quand il s'agit de vos données personnelles.
Justement, en parlant de données personnelles, il se trouve qu'en fait Ghostery appartient à... une entreprise publicitaire (Cliqz), et ce module est même accusé de revendre des informations anonymisées récoltées par l'intermédiaire de ses utilisateurs. Assez paradoxal pour un module censé éviter cela n'est-ce pas ?

Un autre problème également : Il n'est pas OpenSource, donc difficile de vraiment savoir ce qui se cache derrière ce petit fantôme bleu bien mignon.

Peut-on donc faire confiance à Cliqz, sâchant que même Mozilla tente des intégrations de leurs produits dans Firefox ? Ou bien s'agit-il ici encore d'une grande masquarade sur intérêts économiques ?

Cet hiver, pensez à sortir couvert sur Internet | Interface de Ghostery et sa catégorisation des éléments bloqués

Interface de Ghostery et sa catégorisation des éléments bloqués

Disconnect, ou "L'alternative libre à Ghostery"

Après le petit lynchage précédent, voilà le moment d'une proposition de remplacement (eh oui, il ne suffit pas de critiquer, il faut amener des solutions aussi).

Disconnect est OpenSource, possède un business model explicite (voir la page d'accueil), et vous vous laisserez même peut-être tenté(e) par leur seconde extension : Search.
Cette dernière se charge de remplacer le moteur de recherche utilisé derrière chacune de vos barres de recherche par un autre (DuckDuckGo par exemple), sans avoir à installer celui-ci.

Vous trouverez sûrement l'extension un peu moins sexy que Ghostery, mais une fois en arrière plan (soit 80% du temps en fait), vous ne verrez pas la différence ;)

Cet hiver, pensez à sortir couvert sur Internet | Présentation de Disconnect.Me

Présentation de Disconnect.Me

NoScript, ou : "La machine de guerre"

Voilà voilà, on arrive à L'Outil par excellence.
Si vous êtes un paranoïaque (ou ferru de sécurité), NoScript est bel est bien fait pour vous.

Il travaille directement au niveau des scripts chargés sur les pages Internet que vous visitez, et est capable de les autoriser ou non en fonction du nom de domaine de leur source.

Exemple, vous vous baladez sur un site super cool comme par exemple mySetup.co ( :P ), et là NoScript va automatiquement bloquer les appels vers des scripts externes, réduisant ainsi grandement les attaques de type Cross-Site Scripting (XSS pour les intimes).
Ainsi dans notre cas (voir juste ci-dessous), sera bloqué :

  • Les scripts issus de mySetup.co en lui-même
  • Un fichier de fonte récupéré depuis fonts.gstatic.com
  • 2 scripts externes ainsi qu'une feuille de styles chargés depuis cdnjs.cloudflare.com
  • Un appel vers notre système de statistiques (le Matomo de Geek Mexicain)

Seul problème, NoScript n'est disponible uniquement sur Firefox, ainsi que ses dérivés...

Cet hiver, pensez à sortir couvert sur Internet | Exemple d'utilisation de NoScript sur mySetup.co

Exemple d'utilisation de NoScript sur mySetup.co

NoScript bloquera également les éléments de type iframe pour réduire la probabilité de clickjacking.

La partie pas très pratique (eh oui il y en a une...) est au niveau du fait que vous devez donc ajouter chaque domaine à une liste de domaines dans lesquels vous "avez confiance".

Lors de vos prochaines visites sur d'autres pages, ces préférences seront sauvegardées pour vous faire gagner du temps par contre !

C'est un outil intéressant également pour jeter un coup d'œil rapide à quelles entités votre site préféré fait appel à votre insu (spéciale dédicace à LeMonde.fr et sa tonne d'éléments externes chargés lors de chaque visite <3).

uMatrix, un outil pour utilisateurs avancés (comme pour NoScript)

uMatrix est un module (non-disponible pour Safari apparemment) qui, comme son nom l'indique, se base sur une matrice depuis laquelle vous autorisez ou non le chargement de ressources en fonction du domaine visé, et du type d'éléments sujets aux différentes requêtes !

Certains considèrent ce module comme un remplaçant (voire une amélioration) de NoScript. Là encore, c'est à vous de voir.

Le projet est bien entendu OpenSource (voir lien du paragraphe ci-dessus).

Cet hiver, pensez à sortir couvert sur Internet | Exemple de matrice proposée par uMatrix

Exemple de matrice proposée par uMatrix

Privacy Badger, ou aussi "Le protecteur de l'EFF"

Ce module est un projet propulsé par l'Electronic Frontier Foundation.
Pour ceux qui ne connaissent pas cette organisation, il s'agit de l'entité qui a créé et qui continue de maintenir Certbot (l'outil permettant de déployer des certificats TLS Let's Encrypt gratuitement), que nous utilisons accessoirement sur ce site !

Privacy Badger, actuellement disponible uniquement sur Firefox et Chrome, se veut très simple d'utilisation et sans aucun paramétrage utilisateur à apporter.

Il est bien entendu également OpenSource, et c'est à consulter ici.

Ses partisans le présentent comme une belle alternative à Ghostery, ainsi qu'aux bloqueurs de publicités en tout genre.

Son fonctionnement basique consiste à forcer la prise en compte d'une vieille option importante des navigateurs (souvent non-respectée) : Do Not Track.

Cet hiver, pensez à sortir couvert sur Internet | Le petit raton laveur que vous retrouverez dans votre navigateur

Le petit raton laveur que vous retrouverez dans votre navigateur

Malgré l'aspect install'n'use de ce module, il se peut que par défaut cela ne suffise pas à bloquer certains traqueurs ne respectant volontairement pas le Do Not Track...

Comme sur l'exemple ci-dessous, est-il vrai que les traqueurs détectés respectent cette option de navigation ?

Cet hiver, pensez à sortir couvert sur Internet | Rapport du raton laveur sur LeMonde.fr

Rapport du raton laveur sur LeMonde.fr

HTTPS Everywhere, encore un outil de l'EFF #MrRobot

Également à l'origine de l'EFF (décidemment !), cette extension vient forcer l'HTTPS sur les connexions entamées par votre navigateur.

Il est très utile dans certains cas assez courants :

  • Vous tentez d'accéder à une page accessible en HTTPS, où l'administrateur système n'a pas mis en place de redirection automatique sécurisée
  • Vous naviguez sur une page (en HTTPS, donc tout va bien jusque là) faisant appel à des ressources chargée en HTTP simple... Le module va tenter de charger les ressources concernées en HTTPS également.
    Addendum : Les navigateurs commencent à s'en protéger complètement en bloquant la ressource.

Cependant, lorsque le serveur web est vraiment mal configuré, cela peut vous casser certaines pages, parfois même sans que vous vous en rendiez compte.
Récemment, le site d'une compagnie aérienne (dont on ne citera pas le nom) était concerné par cela lors de l'achat de billets, et cela peut même devenir un problème de sécurité car du moment qu'une ressource est chargée en HTTP simple, le client devient vulnérable à une attaque du type Man In The Middle.

Le module est également OpenSource !

Non-disponible sur Safari.

Conclusion

Vous avez réussi à aller jusqu'au bout ! Félicitations :)

Ces articles-catalogues sont un peu longs, mais non-moins nécessaires pour avoir une vue d'ensemble des outils qui sont disponibles, et qui ne demandent qu'à être installés surtout Ghostery :'D !

C'est à vous de les essayer, et de conclure sur ceux qui sont le plus efficaces dans vos cas d'usage (chacun d'entre nous a historique de navigation différent à la fin de la journée ;)).

Cependant, ayez à l'esprit deux choses :

  • Les conflits et la redondance : N'installez pas TOUS les modules présentés ci-dessus, car non-seulement vous n'auriez plus de mémoire disponible sur votre appareil, mais en plus ce serait inutile !
  • Les broken pages ("pages cassées") : En vous aventurant dans ce joli monde, vous verrez souvent que les pages n'ont pas bonne mine. Cela est normal, vu les ressources (parfois obligatoires) que vous leur interdisez ! Allez-y à tâtons, et ajoutez au fur et à mesure les ressources qui vous semblent nécessaires au bon fonctionnement de la page que vous visitez...

Et pour finir, je ne sais pas si vous vous en êtes rendu compte mais il y avait de grands absents dans cet articles : les navigateurs mobiles.
En effet, vous aurez beau protéger votre navigation à domicile (ou au boulot), mais à chaque fois que vous dégaînerez votre smartphone, le problème sera exactement le même...
Malheureusement les extensions présentées ici ne sont majoritairement pas disponibles sur Android (je ne parle même pas d'iOS). Redoublez donc de prudence quand vous êtes en déplacement !

Photo d'article soumise par Edho Pratama sur Unsplash

  • Samuel

    lundi 12 février

    Bonjour ! Merci pour votre commentaire et retour d'expérience. Concernant les publicités, effectivement, les fichiers "hôtes" sont une bonne solution (notamment sur Android avec AdAway comme vous l'avez souligné, mais aussi MinMinGuard, qui sont des outils intéressants). Malheureusement cette technique a ses limites, notamment au niveau des systèmes de "tracking" tiers (comme Google Analytics), qui ne se retrouvent donc pas dans cette "black-list". De plus, les iframes ou scripts ne seront pas bloqués non plus. Il faudra pour cela opter pour l'une des solutions proposées après uBlock !

  • nettlebay

    dimanche 11 février

    Dans mon précédent message concernant l'emploi d'un fichier "hosts" trafiqué, j'ai oublié de préciser que cette méthode semble indétectable par les sites webs ce qui est un grand "+". Un autre très grand avantage -sur Smartphone- c'est que ça agit aussi et surtout sur les applications "free" dont les publicités deviennent ainsi invisibles. Attention! Adaway pour Android n'est pas disponible Google Play dont il a été bani (on comprendra aisément pourquoi!). Il faut télécharger un fichier *.apk ici sur le site Comment Ça Marche: http://ec.ccm2.net/www.commentcamarche.net/download/files/org-2.9.2.adaway_51.apk

  • nettlebay

    dimanche 11 février

    Il y a un moyen vraiment radical, c'est de remplacer son fichier "hosts" par un autre modifié comme indiqué ici: https://magnier.io/bloquer-pubs-hosts (valable pour tous OS). Bon, c'est pas pour tout le monde, il faut tout de même mettre les mains dans le cambouis (un peu). Pour les smartphones, il existe Adaways qui fonctionne exactement pareil (fichier hosts modifié), mais là, ça oblige a rooter son appareil ce qui n'est pas non plus à la portée de tous... Mais j'ai bientôt 70 ans et je l'ai fait aussi bien sur mes Linux que sur mon Android! Donc...