Confidentialité et télémétrie : six navigateurs analysés, Edge pas vraiment un bon élève

Confidentialité et télémétrie : six navigateurs analysés, Edge pas vraiment un bon élève

Confidentialité et télémétrie : six navigateurs analysés, Edge pas vraiment un bon élève

Douglas J. Leith a publié fin février une étude (reprise par Betanews) sur la « confidentialité » des navigateurs, elle est intitulée : « What Do Browsers Say When They Phone Home ? ». Brave, Chrome, Edge, Firefox, Safari et Yandex sont sur le banc des accusés.

Brave s’en sort avec les honneurs : « Avec ses paramètres par défaut, nous n'avons trouvé aucune utilisation d'identifiants permettant le suivi de l'adresse IP dans le temps, et aucun partage des détails des pages web visitées avec les serveurs » de la société.

Par contre « Chrome, Firefox et Safari partagent des détails sur les pages visitées avec les serveurs » de leurs éditeurs respectifs. Dans les trois cas, la cause se trouve dans la fonction de saisie semi-automatique qui envoie les demandes en temps réel.

Le chercheur attribue une mention spéciale à Firefox qui « inclut dans ses transmissions de télémétrie des identifiants qui peuvent potentiellement être reliés entre eux ». Ce n’est pas tout : « Firefox maintient également un websocket ouvert pour les notifications push, qui est lié à un identifiant unique. Il peut donc potentiellement être également utilisé pour le suivi et ne peut pas être facilement désactivé ».

Le problème de Safari est le choix de la page de démarrage « qui divulgue des informations à plusieurs tiers et leur permet de placer des cookies sans le consentement de l'utilisateur ». Bonne nouvelle par contre, Safari « n'a établi aucune connexion réseau étrange et n'a transmis aucun identifiant persistant ».

Enfin, « du point de vue de la confidentialité, Edge et Yandex sont qualitativement différents des autres navigateurs étudiés » affirme le chercheur. Selon son étude, les navigateurs envoient tous les deux « des identifiants persistants ». 

Ce n’est pas le seul reproche : « Edge envoie également l'UUID de la machine à Microsoft et Yandex transmet de la même manière un identifiant matériel haché aux serveurs principaux. Autant que nous puissions le dire, ce comportement ne peut pas être désactivé par les utilisateurs ».

Vous en voulez encore ? « En plus de la fonctionnalité de saisie semi-automatique de recherche qui partage les détails des pages Web visitées, les deux transmettent des informations de page Web aux serveurs qui ne semblent pas liés à la recherche de saisie semi-automatique ».

Commentaires (19)


Étonnant de la part de Mozilla.



Y’a les manips pour désactiver tout ça?


Oui c’est possible mais il faut faire plein de manipulations, en particulier dans les about:config sur plein de variabales.

 

Quand on a besoin de plusieurs pc ou besoin de réinstaller c’est l’horreur, on a pas juste une case à cocher.


Dommage que Vivaldi n’ait pas fait partie de la liste… Mais pour ce que j’en sais, d’après ses concepteurs, il ne fait de contacts vers Google que pour deux choses : la liset « Safe Browsing » et les notifications push. Il suffit de les désactiver pour que ces appels prennent fin. C’est déjà mieux que Firefox.


“Edge pas vraiment un bon élève”.

Sans déconner ? <img data-src=" />


Si Firefox était un bon élève en terme de vie privée, ça se saurait depuis le temps… Ca fait quand même quelques années que ce navigateur est, certes un peu moins pire que les autres mais pas une panacée non plus.


on peux mettre cet user.js personnalisé pour désactiver la plupart:https://github.com/pyllyukko/user.js/

par contre, faut regarder un peu le fichier pour réactiver la recherche dans l’omnibar


Il manque lynx dans la liste <img data-src=" />


J’ai du mal à faire confiance à une étude qui met Brave en premier sur la sécurité privée..



Et il y a beaucoup de “si” et de “potentiellement” dans les reproches à Firefox..



Je continuerai avec Firefox.. (+ublock et noscript au minimum)


Je vous invites à lire le papier avant de trop jeter la pierre sur firefox.



Il y a 4 grands axes d’envois de données que le papier traite. Celui qui est donné problématique firefox, c’est sur la télémétrie de base, donc celle désactivable directement dans les paramètres, section vie privée. Un problème demeure : à l’installation l’option est déjà activée, et donc ce partage de télémétrie se fera forcement jusqu’à désactivation de l’option après l’installation. D’où la suggestion des chercheurs : permettre de désactiver la télémétrie dès l’installation de firefox.



L’autre où il y a un potentiel risque est sur les notifications push (avec un User ID unique), mais pour celui-là le papier souligne que c’est un risque potentiel mais qu’en l’état actuel il n’est pas forcement problématique (chacun jugera, ça peut déjà être trop pour certains).

Le reste est pas mauvais en soit, les requêtes d’auto-complétions n’étant associées à aucun ID par exemple.



Je n’ai pas encore eu le temps de lire les parties de la publication sur les autres navigateurs, regardant ce qui m’a surpris le plus en priorité, mais je pense que ça vaut le coup d’oeil aussi. :)


Oui il aurait mieux valu que NXI traite le papier d’origine et en fasse une news, plutôt que de rapporter simplement à la va vite…


Étonnamment, je trouve que le papier de NXI n’est pas trop à l’image de celui de BetaNews mis en lien en début d’article.

Ceci étant dit, je suis totalement d’accord, une actu plus longue qui reprend de façon propre les éléments clés de la publication m’aurait semblé plus pertinent. Et à contre-courant (de façon positive) de tous les autres médias plus ou moins tech. qui ont tous couvert le sujet sous un même angle abrutissant (comprendre “en simplifiant les choses à outrance et sans nuances”).








dylem29 a écrit :



Étonnant de la part de Mozilla.



Y’a les manips pour désactiver tout ça?





&nbsp;Chiant a mort …





tuxfanou a écrit :



Oui c’est possible mais il faut faire plein de manipulations, en particulier dans les about:config sur plein de variabales.

&nbsp;

Quand on a besoin de plusieurs pc ou besoin de réinstaller c’est l’horreur, on a pas juste une case à cocher.





&nbsp;Ouais, beaucoup trop chiant pour un navigateur soit disant respectueux de l’utilisateur.





Trit’ a écrit :



Dommage que Vivaldi n’ait pas fait partie de la liste… Mais pour ce que j’en sais, d’après ses concepteurs, il ne fait de contacts vers Google que pour deux choses : la liset « Safe Browsing » et les notifications push. Il suffit de les désactiver pour que ces appels prennent fin. C’est déjà mieux que Firefox.





&nbsp;Vivaldi a de la télémétrie, mais je ne me rappel plus comment il l’a font (depuis qu’il ont coupé l’id unique je m’y suis plus trop intéressé)





Albirew a écrit :



on peux mettre cet user.js personnalisé pour désactiver la plupart:https://github.com/pyllyukko/user.js/

par contre, faut regarder un peu le fichier pour réactiver la recherche dans l’omnibar





Oui enfin tant qu’il ne retire pas le userjs, comme ils ont prévu …









Macarie a écrit :



&nbsp;Vivaldi a de la télémétrie, mais je ne me rappel plus comment il l’a font (depuis qu’il ont coupé l’id unique je m’y suis plus trop intéressé)&nbsp;&nbsp;





C’pas vraiment de la télémétrie, ils essayent juste de dénombrer leurs utilisateurs, pas de savoir ce qu’ils font sur le web ou comment ils utilisent, ou pas, certaines fonctionnalités, voir :

-&nbsphttps://vivaldi.com/blog/how-we-count-our-users/

-&nbsphttps://vivaldi.com/blog/decoding-network-activity-in-vivaldi/









ra-mon a écrit :



C’pas vraiment de la télémétrie, ils essayent juste de dénombrer leurs utilisateurs, pas de savoir ce qu’ils font sur le web ou comment ils utilisent, ou pas, certaines fonctionnalités, voir :

-&nbsp;https://vivaldi.com/blog/how-we-count-our-users/

-&nbsp;https://vivaldi.com/blog/decoding-network-activity-in-vivaldi/





ah je croyais avoir lu qu’il récupérais aussi un poil de télémétrie, crash etc ^^’



Merci, je vais voir pour coller ça dans ma version Portable.








Macarie a écrit :



ah je croyais avoir lu qu’il récupérais aussi un poil de télémétrie, crash etc ^^’







Un tout petit poil en effet comme documenté depuis les liens pré-cités : “​In addition to all this, we still get the CPU architecture and the screen resolution of the computer on which Vivaldi is running as well as the user agent. This information isn’t related to user counting, but it lets us know what sort of machines we are designing Vivaldi for.”

Il ne récupèrent pas les rapport de plantage ; il faut, si besoin, les envoyer à la main, si on rapporte le bug évidemment.









dylem29 a écrit :



Étonnant de la part de Mozilla.



Y’a les manips pour désactiver tout ça?





Pour la saisie semi-automatique, elle est désactivable dans les préférences/général, il faut décocher “Lancer la recherche lors de la saisie de texte” tout en bas.



Google finance assez fortement la fondation, faut bien un retour sur investissement quelquepart.

D’ailleurs à propos de Google pas plus de détails sur le contenu du call to home ? c’est pourtant de très loin le navigateur majoritaire il me semble.

Pour Edge ça étonne qui ? Juste un baveur parmi d’autres intégré à l’OS.








tuckleberry a écrit :



J’ai du mal à faire confiance à une étude qui met Brave en premier sur la sécurité privée..





Pourquoi ça par curiosité ?



Fermer