Ma liste d'extension firefox

Rédigé par cafou 1 commentaire
Classé dans : Vie Privée Mots clés : aucun

Avant toute chose, je tiens à préciser que les extensions que je vais vous présenter permettent de réduire l'impact de la collecte de vos données personnelles quand vous surfez sur le web. Il n'y a jamais eu et il n'y aura jamais d'anonymat complet car le numérique l'en empêche par sa nature. Ceux qui prétendent le contraire sont des charlatans ou ont quelque chose à vous vendre.

Le sujet du modèle de menace et des raisons qui ont amenées le Web dans cette état ont déjà été analysées par des personnes plus brillantes que moi donc je ne rentrerai pas le détail concernant ces points.

La base de la base est de se protéger des pubs visuelles envahissantes qui pullulent avec Adblock Origin. Pourquoi pas Adblock Plus me direz-vous ? J'ai utilisé cette extension pendant un moment mais son fonctionnement a été changé en 2011 par les développeurs pour laisser les pubs dites "non-intrusives" contre monnaie sonnante et trébuchante. Vous jugerez vous même de l’intérêt d'un bloqueur de pub de cette sorte et de son modèle économique.

D'ailleurs , les développeurs n'ont pas attendu Adblock Plus pour commencer à bloquer les pubs et ce , depuis 1996, 1 an après la première bannière. Merci à Troll pour la traduction de l'article.

Depuis 2014, uBlock Origin continue à être activement développée et maintenue. Elle est légère et fait le travail que l'on lui demande. Sa couverture est suffisante pour ne pas être embêté 99% du temps et l'ajout d'un filtre se fait simplement par un click droit. Elle fonctionne avec un principe de liste blanche et noire mise à jour régulièrement. Et elle est recommandée dans le très bon SILL (Socle interministériel de logiciels libres).

Ublock Origin est aussi la seule extension que je connaisse à intégrer une protection contre le camouflage par CNAME utilisé par marmiton.org ou leboncoin.fr, lemonde.fr, libération etc etc pour vous tracer sans cookies de domaines tiers et revendre en toute illégalité vos données. Mais en écrivant des articles sur la méchante GAFAM. Je ne porte pas ces entreprises américaine dans mon cœur, loin s'en faut, mais je me devais de dénoncer la grande hypocrisie de ses journaux.

Au passage, pour le sujet de l'extension du domaine de la surveillance, je peux vous conseiller ce site : https://www.pixeldetracking.com/fr et l'excellent livre "L’Âge du capitalisme de surveillance" de Shoshana Zuboff

Passons sur le greffon suivant, il s'agit de Privacy Badger . Privacy Badger ne fonctionne pas à partir d'une liste établie de sites à bloquer . Une méthode heuristique est utilisée et présente deux avantages : actualité (par la technique de l'apprentissage automatique la contre-mesure est toujours à jour), impartialité (pas de pressions tierces concernant le contenu d'une liste centralisée pré-établie).

Une autre extension nommé Ghostery est assez connue. Elle est sensé remplir le même rôle mais elle est tombée dans le même travers que d'Adblock Plus. Je cite in extenso "Evidon (la société éditrice) a un incitatif financier pour encourager l'adoption du programme et décourager l'adoption d'alternatives telles que Ne pas suivre et le blocage des cookies, ainsi que pour maintenir des relations positives avec les entreprises de publicité intrusives." La source est ici. Je vous la déconseille très fortement.

Privacy Badger risque de "casser" certains sites mais le site en question ne n'affiche pas, c'est qu'il ne mérite pas vraiment votre attention. Soit parce qu'il est codé de façon très sale soit parce qu'il ignore sciemment votre réglage des cookies de votre navigateur.

Le suivant est HTTPS Everywhere Certains sites web offrent une prise en charge limitée le chiffrement de la connexion via HTTPS. Le greffon résout le problème en redirigeant toutes les requêtes de ces sites vers leurs version HTTPS.

Il y aussi ClearURLs. Certaines technologies ajoutent paramètres à des URLS comme la technologie UTM , re-écrivent des URLs pour ajouter des identifiants uniques comme lorsque vous effectuer une recherche sur google ou yandex, ou génère un identifiant unique propre à des entêtes http comme Etag.

Si il y a bien quelque chose qui n'as pas du tout plu aux lobbys de la pub, marqueteux et autres vampires de données personnelles, c'est le RGPD qui a mis un petit coup de frein à leur très lucratif travail. Comme ils ont échoués (de peu) à empêcher son adoption , beaucoup de sites ont mis en place des dark pattern ou interface trompeuse sur leurs sites. Le principe repose sur la modification de l'interface utilisateur.

Je cite la page wikipédia : "Le Laboratoire d'Innovation Numérique de la CNIL a publié en janvier 2019 une étude sur les dark pattern dans son Cahier IP n°6 : La Forme des Choix. Il y est notamment affirmé que « ces pratiques peuvent pour certaines rester conformes du point de vue du RGPD, mais selon le moment, la manière et les données concernées, elles peuvent soit poser des questions éthiques, soit devenir non conformes »et que « lorsque les différentes techniques [de dark pattern] sont mises en œuvre dans l’objectif d’accumuler plus de données que nécessaire sur les individus, clients ou citoyens, celles-ci ne posent plus seulement de questions d’éthique et de responsabilité des services numériques face à la captation de l’attention notamment, mais elles viennent se confronter aux principes de bases du RGPD, qui donne aux individus des droits plus importants sur l’exploitation qui est faite des données qui les concernent . La CNIL identifie alors quatre objectifs aux dark pattern" :

  • Pousser l'individu à partager plus que ce qui est strictement nécessaire
  • Influencer le consentement
  • Créer de la friction aux actions de protection des données
  • Dérouter l'individu

Pour le premier exemple, vous pouvez imaginer des cases pré-cochées. Pour le second un petit discours larmoyant expliquant que si les données ne sont pas récoltées l'expérience utilisateur (notion fourre-tout et flou permettant de tout justifier) sera moins bonne sans vous expliquer en quoi elle serait dégradée évidemment . Je suis sûr que vous avez déjà du rencontrer le cas d'une liste d'une centaine de "partenaires" d'un site mais dont vous devriez cocher les cases une à une pour créer chez vous de la frustration et de l'énervement. C'est une bonne illustration du troisième principe. Changer les règles et la disposition dans les sous-menu de consentements est aussi un exemple du dernier cas décrit par la CNIL.

Malgré son analyse très pertinente des problèmes causés par certains acteurs , la CNIL se donne un délai de un délai de six mois, soit à partir de mars 2021. Soit 5 ans après la transposition en droit français, avant de commencer à sanctionner ces pratiques. Donc les contrevenants sont tranquilles pour un bon moment.

Devant la couardise de la CNIL , j'ai décidé de chercher un greffon qui s'occupera de répondre aux popup qui sautent aux yeux. Cette extension s'appelle Consent-O-Matic , ce programme fait semblant de répondre" oui" mais ne créé pas les cookies dans le navigateur. Par défaut rien n'est gardé mais ce comportement peut être modifié avec une assez une bonne granularité dans les options du greffon.

Le web moderne est beaucoup construit avec et autour d'un langage de programmation, le Javascript. Ce présentant sous la forme de scripts , des programmes avec des fonctions plus ou moins complexes allant de de la vérification de champs dans un formulaire à l'émulation complète de machines dans un navigateur.

Le problème est que beaucoup de développeurs usent et abusent de frameworks pour le développement de sites et d'applications web qui font appel à des bibliothèques de fonctions non présentes sur le serveur hébergeant les données . Reportant ainsi une masse importante du trafic web dans la main d'un tout petit nombre d'acteurs gérant des CDN. Un CDN (ou RDC ) ou content delivery service est un réseau d’ordinateurs reliés en réseau à Internet et qui coopèrent afin de mettre à disposition du contenu ou des données à des utilisateurs.

Ce réseau est constitué :

  • de serveurs d'origine, d'où les contenus sont « injectés » dans le RDC pour y être répliqués
  • de serveurs périphériques, typiquement déployés à plusieurs endroits géographiquement distincts, où les contenus des serveurs d'origine sont répliqués
  • d'un mécanisme de routage permettant à une requête utilisateur sur un contenu d'être servie par le serveur le « plus proche », dans le but d’optimiser le mécanisme de transmission / livraison.

Sur le papier, cela semble plutôt bien sauf que ces réseaux sont maintenus soit un acteur tout puissant dans son domaine comme CloudFlare ou la GAFAM. Nous tombons ici sur le cas classique de centralisation du Web. La surutilisation des CDN n'est qu'un seul des nombreux avatars d'un problème de l'ossification d'Internet et de la transformation du Web en minitel(le web et Internet sont deux choses très différentes).

Mais je digresse (*graisse*) , pour en revenir au sujet des CDN , j'utilise le greffon Decentraleyes qui contient 14 bibliothèques de fonctions Javascript. Ainsi, quand mon navigateur va lire le code de la page d'un site qui contient un script Javascript externe à la page , il va demander la ressource à mon navigateur au lieu d’interroger les CDN. Cela permets un gain de performance car on va pas interroger un serveur à l'autre bout de la terre et on gagne en vie privée en utilisant du code directement présent sur notre ordinateur.

J'utilise aussi une extension qui bloque tout javascript et permets de bloquer ou d'activer les scripts de manière unitaire sur une page mais beaucoup de sites ne s'afficheront plus du tout. Pour chaque site il faudra sélectionner , parfois en tâtonnant les scripts à débloquer pendant une minute. Inutile de vous dire que cela interrompt complètement la fluidité de la navigation web. Par conséquent, malgré son utilité certaine, je ne la présenterai pas pour garder le côté tout public de cet article.

Depuis la rédaction de cet article, j'ai rajouté quelques nouveaux greffons que je vais vous présenter :

Don't fuck with paste ou "Arrêter de déconner avec le copier-coller" plusieurs équipes de webmestres de sites très fréquentés ont décidé que le copier-collé dans les champs de mot de passe de formulaires ,c'était pas bien. Mais comme je n'aime pas trop que l'ont décide pour moi ce qui est bien ou pas, et que j'ai gestionnaire de mot de passe qui effectue le remplissage automatique, j'ai installé ce petit bout de code qui permet de faire sauter cette restriction stupide.

Sponsor Block Si comme moi, vous utilisez encore youtube, vous avez du remarquer les vidéastes intègrent de plus en plus de séquences dédiés à leurs sponsors. Mais le nombre et la longueur de ses séquences inutiles et un poil irritante vous en conviendrez. Cette extension permet de sauter automatiquement les pubs pour les sponsors afin de regarder seulement le contenu de la vidéo qui est intéressant. Les personnes qui possèdent cette extension peuvent aussi soumettre les codes temporel afin d'en faire profiter tout le monde. Testée avec succès sur de nombreuses chaînes youtubes francophones et anglophones.

Notez que ces greffons ne sont parfaits car il y a une pléthore de méthodes permettant de contourner les protections présentés et que le jeu de chat et de la souris se poursuivra pour toujours. Tout ce que j'ai présenté n'est que la partie émergée de l'iceberg. Ce sont des solutions techniques, des rustines à un problème plus globaux qui impliquent beaucoup d’entités. Les états, les internautes, les instances européennes, les FAI, les sociétés publicitaires, les grosses corporations comme la GAFAM, etc etc.

En petit bonus, je vous passe ce lien qui permets de constater à quel point votre navigateur , et par extension vous-même. C'est par ici.

1 commentaire

#1  - Troll a dit :

Merci pour ce super article que j'ai trouvé très bien écrit et très détaillé.
J'utilise la plus-part des extensions que tu as présentées ici, sauf Consent-O-Matic que je vais m'empresser de tester du coup :)

Répondre

Écrire un commentaire

Quelle est la première lettre du mot tzbe ?

Fil RSS des commentaires de cet article