uBlock Origin s’adapte aux scripts de pistage first-party
Le 20 novembre 2019 à 09h41
2 min
Internet
Internet
L'offre « sans pistage publicitaire » de Libération mène à des développements inattendus. Suite à la découverte de certains scripts hébergés par le média (first-party) plutôt que par les sociétés qui en sont à l'origine (third-party), pour éviter leur blocage, uBlock Origin a adapté son fonctionnement.
Aeris avait en effet évoqué le problème avec les développeurs de l'extension, par crainte d'un procédé pouvant mener à des problèmes de sécurité. Mais comme l'avait montré Shaft via son tutoriel de blocage DNS, les sociétés proposant ces scripts continuent de se reposer sur des noms de domaine qu'elles contrôlent.
De quoi fournir une solution aux outils de blocage. uBlock Origin demande ainsi désormais la permission d'accès aux IP et nom d'hôte (DNS) sous Firefox afin de découvrir quels sites se cachent derrière certaines requêtes et pouvoir les bloquer si nécessaire.
La fonctionnalité est encore en test, mais elle est désormais en préparation active, une documentation étant proposée par ici. Pas sûr que les éditeurs et sociétés qui ont fait le choix de masquer ainsi leurs scripts, sans toujours s'assurer d'avoir l'accord explicite de leurs visiteurs soient gagnants dans l'affaire.
Preuve que même si certains pensent encore que forcer la main de la CNIL ou des internautes est la solution pour favoriser un modèle économique toujours basé sur le pistage en ligne, la véritable solution est ailleurs.
Le 20 novembre 2019 à 09h41
Commentaires (30)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 21/11/2019 à 07h37
Ces addons par site ne peuvent pas fonctionner correctement, l’approche globale de Privacy Badger ou du traqueur de Firefox est bien meilleur :
Plutôt que de gérer une liste noire longue comme le bras et faire ramer à l’analyser chaque page de fond en comble, ces extensions analysent le traffic réseau : si un site tiers récupère un cookie ou un id posé par un autre site il est bloqué.
C’est simple, léger (pas besoin de parser, d’analyser le contenu de la page à la volée, ou de stocker une blacklist qui ne fera que s’alonger avec le temps), auto apprenant (ne soyez pas surpris au début ça ne bloque rien du tout) et assez puissant pour détecter la majorité des stockages (images, script de traqueurs auto-hébergé comme pour Libé…)
L’effet bénéfique est que ça ne bloque pas tout et laisse les pubs non intrusives sur les sites vertueux.
Effet négatif est qu’il y’a des faux positifs, genre ici: le même serveur de contenu est utilisé entre impact-hardware et nextimpact. Dés qu’une image été affiché sur les deux sites, un comportement suspect est détecté et toutes les images se sont retrouvé bloquées. J’ai signalé le bug (s’en ait un) à next impact et ai white-listés ses deux sites en en click. Mais c’est bel et bien un tracking qui a été détecté automatiquement.
Si vous souhaitez essayer ces systèmes il faut leur laisser du grain à moudre et ne pas les combinés avec d’autres bloqueurs, il faut aussi tester quelques jours avant de voir l’effet.
Le 21/11/2019 à 09h28
Le 21/11/2019 à 11h41
Quand je regarde le site de Ghostery, il n’y a aucune mention de ce genre. ça mentionne Cliqz.
Est-ce que tu as une source à ce propos ?
Le 21/11/2019 à 18h17
Il semblerait que ce n’était qu’une question de temps avant qu’on tombe sur ce problème à partir du moment où on a décidé d’intégrer une machine de Turing dans le navigateur : JavaScript ? (voire Flash/Java auparavant)
Soit on reste sur la Toile limitée à des documents, soit on ouvre la porte à un Internet applicatif pouvant exécuter du code arbitraire sur notre ordinateur, avec tout ce que ça implique…
(Voir aussi : les problèmes avec le format PDF et les macros Excel.)
P.S.: Le sites pourraient aussi décider d’ajouter des publicités dans les pages html avant de nous les envoyer, mais c’est beaucoup plus cher (pour eux) en calcul d’avoir une publicité ciblée, et rend le pistage plus complexe ?
Le 21/11/2019 à 18h48
La publicité est déjà dans les pages mais elle est statique donc facile à bloquer avec une liste.
Faire de la publicité en temps réel supposerait d’identifier le visiteur par son IP (pour avoir un caractère unique), puis de différencier selon d’autres données quelle publicité envoyer dans le cadre applicatif… en gros c’est ce qu’essaye de faire Google avec les pubs sur youtube. Là dessus j’ai pas creusé, je dis peut-être une connerie.
Mais je crois surtout que vu qu’il n’existe pas de balise ou truc équivalent pour dire “scripts pub à ranger ici”, le RGPD est voué à l’échec. Il faut rénover les langages de programmation et intégrer dès le départ qu’une page web ne sera pas codable sans cocher une case pour le programmeur qui efface tout tracking. Le DNT de mozilla c’est pas au point…
Le 22/11/2019 à 10h55
Euh, non, ça fait un bail que la publicité n’est plus statique et qu’elle est chargée par des sites tiers, qui, si je ne me trompe font des enchères sur la publicité à montrer suivant l’identité du visiteur - qu’est ce que tu crois qu’ils veulent dire par first-/third-party ? Et pourquoi crois-tu que le pistage des internautes est autant pratiqué ?
Essaie d’utiliser uMatrix, il rend bien plus facile de voir ce qui se charge d’où quant tu visites un site…
(Même pour les sous-domaines du style xxx.nextinpact.com d’ailleurs…)
Le 22/11/2019 à 11h05
J’utilise uMatrix…
Le 22/11/2019 à 13h35
Cliqz est propriété de Mozilla et d’Hubert Burda Media (wikipédia).
Le 25/11/2019 à 08h07
Mozilla semble être minoritaire dans Cliqz.
Après, si on lit l’article sur Cliqz, ça fait pas rêver : une version modifiée de Firefox, envoyé à 1% des personnes qui téléchargent sur le site officiel de Mozilla, qui s’occupe d’aspirer les informations de navigation tout en essayant de les anonymiser “au maximum” avant de les envoyer chez Mozilla.
Enfaite pas besoin de Ghostery, Firefox semble faire du suivi de navigation tout seul.
ça fait rêver…
Le 14/02/2020 à 11h20
La version 5.0 (beta pour l’instant) de pihole semble pouvoir gérer les CNAME ?
Le 20/11/2019 à 10h11
Ce plugin est vraiment une bénédiction … Amen !
Le 20/11/2019 à 10h12
quand les boites de pistage vont laisser tomber les CNAME pour passer a des enregistrements A ou des solutions à base de reverse-proxy, on sera définitivement baisés techniquement à moins de maintenir des blacklists…
Et je suis sur que c’est déjà en préparation.
Il est temps que la CNIL tape du poing sur la table et arrête de jouer la carte de la bienveillance…
Le 20/11/2019 à 10h23
J’achèèèèèèète ^^ Je vais virer ghostery (beaucoup trop limité depuis quelques temps) pour installer celui là ! Merci NxI !
Le 20/11/2019 à 10h29
sinon, les deux ensembles forment un bon duo!
Le 20/11/2019 à 10h44
Avec si peu de pouvoir c’est compliqué.
" />).
Il reste les options de tor comme base de contre ingérence (ou base d’attaque évidemment
Le 20/11/2019 à 10h51
Exact,
" />
En ce qui me concerne, j’ai remplacé Ghostery par Disconnect, qui est très sympa aussi.
En complément de uBlock Origin, aucun souci.
Le 20/11/2019 à 11h01
Sur firefox, me semble qu’il utilise Disconnect par defaut.
Le 20/11/2019 à 11h07
Perso. uBlock Origin + Ghostery depuis des années.
Le 20/11/2019 à 11h14
Liste d’add-on :https://prism-break.org/en/subcategories/windows-web-browser-addons/
GitHub
Sinon, LibreFox est pas mal violent à ce niveau (conf firefox) :
Le 20/11/2019 à 11h18
Le problème de Ghostery (du moins il y a quelques temps) il renvoyait par défaut des données aux serveurs de Ghostery, donc on ne se faisait plus pister par les autres mais par Ghostery…
Next INpact voir si c’est encore d’actualité.
Lire les commentaires de cette news :
Le 20/11/2019 à 12h43
Le 20/11/2019 à 12h55
Ne pas oublier Privacy Badger de l’EFFhttps://www.eff.org/privacybadger
Le 20/11/2019 à 12h57
La vie uBlock Origine trouve toujours un chemin
" />
Le 20/11/2019 à 13h51
Des listes sont déjà maintenues. Ok c’est surement plus simple qu’avec juste des IP mais bon.
Le 20/11/2019 à 14h02
Le 20/11/2019 à 14h06
Le 20/11/2019 à 14h26
Hmm ptite question ça marchera ce patch de uBlock avec le DNS over https?
Le 20/11/2019 à 14h30
Le 20/11/2019 à 15h15
Bonne question.
Je me pose également la question du fonctionnement d’uBlock Origin et/ou uMatrix avec IPv6 : quelqu’un aurait des réponses ?
Le 20/11/2019 à 19h43
Réponse : oui, ça fonctionne avec ipv6 aussi. Y a pas de raison.