Douglas J. Leith a publié fin février une étude (reprise par Betanews) sur la « confidentialité » des navigateurs, elle est intitulée : « What Do Browsers Say When They Phone Home ? ». Brave, Chrome, Edge, Firefox, Safari et Yandex sont sur le banc des accusés.
Brave s’en sort avec les honneurs : « Avec ses paramètres par défaut, nous n'avons trouvé aucune utilisation d'identifiants permettant le suivi de l'adresse IP dans le temps, et aucun partage des détails des pages web visitées avec les serveurs » de la société.
Par contre « Chrome, Firefox et Safari partagent des détails sur les pages visitées avec les serveurs » de leurs éditeurs respectifs. Dans les trois cas, la cause se trouve dans la fonction de saisie semi-automatique qui envoie les demandes en temps réel.
Le chercheur attribue une mention spéciale à Firefox qui « inclut dans ses transmissions de télémétrie des identifiants qui peuvent potentiellement être reliés entre eux ». Ce n’est pas tout : « Firefox maintient également un websocket ouvert pour les notifications push, qui est lié à un identifiant unique. Il peut donc potentiellement être également utilisé pour le suivi et ne peut pas être facilement désactivé ».
Le problème de Safari est le choix de la page de démarrage « qui divulgue des informations à plusieurs tiers et leur permet de placer des cookies sans le consentement de l'utilisateur ». Bonne nouvelle par contre, Safari « n'a établi aucune connexion réseau étrange et n'a transmis aucun identifiant persistant ».
Enfin, « du point de vue de la confidentialité, Edge et Yandex sont qualitativement différents des autres navigateurs étudiés » affirme le chercheur. Selon son étude, les navigateurs envoient tous les deux « des identifiants persistants ».
Ce n’est pas le seul reproche : « Edge envoie également l'UUID de la machine à Microsoft et Yandex transmet de la même manière un identifiant matériel haché aux serveurs principaux. Autant que nous puissions le dire, ce comportement ne peut pas être désactivé par les utilisateurs ».
Vous en voulez encore ? « En plus de la fonctionnalité de saisie semi-automatique de recherche qui partage les détails des pages Web visitées, les deux transmettent des informations de page Web aux serveurs qui ne semblent pas liés à la recherche de saisie semi-automatique ».
Commentaires (19)
#1
Étonnant de la part de Mozilla.
Y’a les manips pour désactiver tout ça?
#2
Oui c’est possible mais il faut faire plein de manipulations, en particulier dans les about:config sur plein de variabales.
Quand on a besoin de plusieurs pc ou besoin de réinstaller c’est l’horreur, on a pas juste une case à cocher.
#3
Dommage que Vivaldi n’ait pas fait partie de la liste… Mais pour ce que j’en sais, d’après ses concepteurs, il ne fait de contacts vers Google que pour deux choses : la liset « Safe Browsing » et les notifications push. Il suffit de les désactiver pour que ces appels prennent fin. C’est déjà mieux que Firefox.
#4
“Edge pas vraiment un bon élève”.
Sans déconner ? " />
#5
Si Firefox était un bon élève en terme de vie privée, ça se saurait depuis le temps… Ca fait quand même quelques années que ce navigateur est, certes un peu moins pire que les autres mais pas une panacée non plus.
#6
on peux mettre cet user.js personnalisé pour désactiver la plupart:https://github.com/pyllyukko/user.js/
par contre, faut regarder un peu le fichier pour réactiver la recherche dans l’omnibar
#7
Il manque lynx dans la liste " />
#8
J’ai du mal à faire confiance à une étude qui met Brave en premier sur la sécurité privée..
Et il y a beaucoup de “si” et de “potentiellement” dans les reproches à Firefox..
Je continuerai avec Firefox.. (+ublock et noscript au minimum)
#9
Je vous invites à lire le papier avant de trop jeter la pierre sur firefox.
Il y a 4 grands axes d’envois de données que le papier traite. Celui qui est donné problématique firefox, c’est sur la télémétrie de base, donc celle désactivable directement dans les paramètres, section vie privée. Un problème demeure : à l’installation l’option est déjà activée, et donc ce partage de télémétrie se fera forcement jusqu’à désactivation de l’option après l’installation. D’où la suggestion des chercheurs : permettre de désactiver la télémétrie dès l’installation de firefox.
L’autre où il y a un potentiel risque est sur les notifications push (avec un User ID unique), mais pour celui-là le papier souligne que c’est un risque potentiel mais qu’en l’état actuel il n’est pas forcement problématique (chacun jugera, ça peut déjà être trop pour certains).
Le reste est pas mauvais en soit, les requêtes d’auto-complétions n’étant associées à aucun ID par exemple.
Je n’ai pas encore eu le temps de lire les parties de la publication sur les autres navigateurs, regardant ce qui m’a surpris le plus en priorité, mais je pense que ça vaut le coup d’oeil aussi. :)
#10
Oui il aurait mieux valu que NXI traite le papier d’origine et en fasse une news, plutôt que de rapporter simplement à la va vite…
#11
Étonnamment, je trouve que le papier de NXI n’est pas trop à l’image de celui de BetaNews mis en lien en début d’article.
Ceci étant dit, je suis totalement d’accord, une actu plus longue qui reprend de façon propre les éléments clés de la publication m’aurait semblé plus pertinent. Et à contre-courant (de façon positive) de tous les autres médias plus ou moins tech. qui ont tous couvert le sujet sous un même angle abrutissant (comprendre “en simplifiant les choses à outrance et sans nuances”).
#12
#13
#14
#15
Merci, je vais voir pour coller ça dans ma version Portable.
#16
#17
#18
Google finance assez fortement la fondation, faut bien un retour sur investissement quelquepart.
D’ailleurs à propos de Google pas plus de détails sur le contenu du call to home ? c’est pourtant de très loin le navigateur majoritaire il me semble.
Pour Edge ça étonne qui ? Juste un baveur parmi d’autres intégré à l’OS.
#19