La navigation (vraiment) privée

Comment rendre la navigation privée vraiment privée

Les navigateurs Web proposent tous la navigation privée.

Mais cette navigation n'est privée que pour la machine locale, empêchant un individu connecté à votre compte de voir le contenu et l'historique de votre navigation.

En revanche, cette navigation privée n'a aucun effet sur les parties tierces de l'Internet qui peuvent toujours vous identifier et vous suivre pas à pas, où que vous alliez.

Pour gagner en intimité, il convient donc de prendre quelques précautions supplémentaires.

Voyons pourquoi et comment les mettre en place.

Les différents niveaux de collecte

Les données qui fuitent de votre navigateur peuvent être récupérées à différents niveaux.

Moteur de recherche

Les moteurs de recherche sont intrusifs car ils tirent les revenus nécessaires à leur fonctionnement depuis les publicités. Plus les publicités sont ciblées, plus elles peuvent faire mouche et déclencher un acte d'achat.

Les moteurs de recherche analysent donc la navigation afin de bâtir un modèle représentatif du comportement de la cible et peuvent même parfois revendre ces informations à d'autres partenaires.

Le tuyau

La communication entre le client et le serveur peut être analysée si elle n'est pas protégée. Le protocole HTTPS permet de sécuriser le canal, même si certaines technologies de pointe sont capables d'en tirer quelques informations.

De plus, le HTTPS ne masque pas des informations comme l'adresse IP du client.

Pour assurer un meilleur anonymat, il convient d'utiliser des protocoles plus sûrs comme un VPN ou le réseau Tor.

Dans tous les cas, il convient de configurer le navigateur pour qu'il tente d'utiliser le HTTPS par défaut.

Le site destinataire

Le site destinataire lui, voit passer en clair les données qui lui sont destinées. Il reçoit donc tout ce que le client laisse filtrer – adresse IP, navigateur, système d'exploitation, greffons, empreinte, ….

Les données peuvent être collectées à des fins locales ou revendues à des partenaires.

Mais ce n'est pas tout ! Un composant invisible à l'œil nu sur une page peut envoyer des informations collectées à un site tiers, comme par exemple le bouton Facebook : la simple de présence de ce bouton collecte des données et les envoie à Facebook, même si on n'y a pas de compte, et permet de suivre l'évolution d'une personne d'un site à un autre, sitôt que le bouton est présent.

Le site destinataire lui-même collecte alors les données de ses utilisateurs sans le savoir.

Il est possible d'éviter ces fuites transversales grâces à des paramétrages ou des extensions évitant le pistage.

Les différents types de données récoltées

Les traces regroupent un ensemble de données, toutes ne sont pas de même type et de même usage.

Vous pouver vérifier et contrôler votre empreinte depuis les sites suivants :

https://amiunique.org/

https://panopticlick.eff.org/

https://privacy.net/ : Analyzer

https://webbrowsertools.com

https://www.deviceinfo.me

L'adresse IP

Une des informations les plus précises, notamment sur des postes fixes – et non les appareils mobiles qui changent d'adresse en fonction de celles disponibles au moment de l'usage et des antennes auxquelles ils sont accrochés.

À partir de cela, on peut identifier la position géographique – au niveau de la ville – même sans activer la géolocalisation.

Le seul moyen de la masquer est d'utiliser un VPN ou Tor.

Les données système

Ces données concernent le système d'exploitation, le navigateur utilisé – le User-Agent – ainsi qu'un certain nombre d'extensions installées et les composants (dés)activés.

Il s'agit d'informations techniques sur la machine utilisée. Comme l'utilisateur a généralement une machine privilégiée, il est aisé d'associer la machine à une personne.

En cas de plusieurs utilisateurs sur une même machine, plus les données de navigation s'accumulent, plus il est aisé de déterminer le nombre d'usagers et de reconnaître chacun par son usage ultérieur, notamment lorsque ces personnes s'authentifient à un compte de service.

Cette information peut être masquée par une extension (préférement) ou une configuration fine du navigateur – privacy.resistFingerprinting pour Firefox.

Données locales d'affichage

Http-Accept-Headers, Accept-Language,…

Ces données sont spécifiques non pas à la technique, mais à la personne qui navigue et correspondent à la configuration de son poste/navigateur. Ce dernier peut alors transmettre des information au serveur afin d'afficher éventuellement les données dans le bon format (nombre, langue, etc.).

Ces informations ne sont pas modifiées par les filtres mais restent raisonnablement peu significatives tant qu'elles ne sont pas cumulées avec d'autres plus spécifiques.

Fuseau horaire

Le fuseau horaire n'est pas une donnée sensible. Cumulée avec d'autres informations, elle peut cependant rendre les profils plus précis alors qu'elle n'a que peu d'importance pour l'utilisateur lui-même – sauf dans quelques rares cas pour afficher des dates au bon format.

Et le reste…

Plus les technologies s'améliorent pour proposer des fonctionnalités aux utilisateurs, plus les données spécifiques pour construire une empreinte numérique sont importantes.

Elles peuvent correspondre au matériel connecté à l'ordinateur – enceintes USB ou Bluetoooth, … –, matériel de positionnement géographique et d'orientation – pour gérer le basculement d'un écran, … –, les différentes extensions installées sur le navigateur ou le système d'exploitation…

Unicité matériel audio

Le paradoxe de la paranoïa

Les plus paranoïaques ou les plus méfiants éviteront ou conseilleront de limiter l'usage de ses appareillages et extensions, mais il devient à la fois de plus en plus difficile de le faire, essentiellement parce que bon nombre de ses ajouts nous font gagner du temps, de l'anonymat et du confort de navigation.

Certains cookies par exemple, ne servent pas à tracer les utilisateurs, mais juste améliorer le confort de navigation. Il en est de même pour le Javascript qui permet de gérer un certain nombre de fonctionnalités d'affichage – menu dynamiques, …

Bloquer systématiquement les cookies ou le Javascript supprimera un certain nombre de fonctionnalités voire empêchera tout simplement le site de fonctionner.

Le site https://amiunique.org/ permet de calculer l'unicité du profil. Plus l'unicité est faible, plus il est difficile de vous identifier par votre matériel. Une bonne pratique est de conserver l'unicité le plus bas possible. Mais cela ne doit pas devenir une obsession.

En effet, même si nous disposons d'une empreinte à faible unicité, ce sont nos habitudes qui nous trahissent le plus. Masquer l'empreinte du matériel au point de rendre certains sites inutilisables n'empêchera pas d'être tracé.

C'est même parfois l'inverse : si vous avez restreint l'empreinte technique de votre machine, vos précautions deviennent une signature qui permet de vous identifier. Peu de personnes s'empêchent de visiter tel ou tel site. Peu de personnes ont les compétences et les connaissances suffisantes pour prendre autant de précautions.

S'il est important voire requis de masquer certaines informations, il devient contre-productif de tout faire à la perfection.

La méthode la plus simple consiste à brouiller les pistes et séparer les usages en endossant des profils différents, mais consistants, en fonction des usages. Chaque usage aura les fonctionnalités juste nécessaires et les extensions qui vont avec.

Pour avoir un exemple de compartimentation par profil, lisez cet autre article.

Les solutions

Navigation privée

N'est utile que pour effacer ses données locales.

Elle permet d'éviter qu'un autre utilisateur ne puisse consulter l'historique de navigation ou qu'un site ne puisse détecter une précédente visite à l'aide de cookies – il devra alors utiliser des modèles fondés sur les empreintes du système pour contourner le problème.

Cette navigation privée n'est fortement conseillée que sur une machine partagée. Elle est également conseillée sur une machine privée sitôt qu'on n'a pas envie de changer les restrictions paramétrées par défaut.

Restrictions du navigateur

Les navigateurs intègrent de plus en plus des outils pour éviter le pistage. Il suffit de fouiller dans la configuration pour affiner la politique, par exemple nettoyer systématiquemert l'historique et les cookies.

Un paquet complet de restrictions peut être aussi proposé, comme c'est le cas de Firefox depuis Paramètres > Vie privée et sécurité > Protection renforcée contre le pistage : Stricte

Protection renforcée contre le pistage

Voir la documentation sur le site officiel.

Il est aussi possible d'activer des options depuis la configuration :

about:config > privacy.resistFingerprinting = true

privacy.resistFingerprinting est une fonctionnalité de protection améliorée contre le pistage qui bloque une liste d'empreintes digitales connues lorsque vos paramètres de confidentialité sont définis sur Standard (par défaut) ou Stricte. La protection contre les empreintes digitales est une fonctionnalité expérimentale différente en cours de développement dans Firefox. Il est probable que cela dégrade votre expérience Web, il est donc recommandé de ne l'utiliser pour l'instant que par ceux qui souhaitent tester cette fonctionnalité.

Cependant, cette fonctionnalité permet de modifier les informations suivantes (liste non exhaustive)  :

  • Le fuseau horaire est signalé comme étant UTC;
  • Toutes les polices installées sur l'ordinateur ne sont pas disponibles pour les pages We;
  • La taille de la fenêtre du navigateur est modifiée;
  • Le navigateur signale un numéro de version et un système d'exploitation communs et spécifiques;
  • La disposition de clavier et la langue sont déguisées;
  • Les capacités de webcam et de microphone sont déguisées;
  • L'API Web Media Statistics signale des informations trompeuses;
  • Les paramètres de zoom spécifiques au site ne sont pas appliquées;
  • Les API WebSpeech, Gamepad, Sensors et Performance Web sont désactivées.

about:config > network.http.sendRefererHeader = 0

network.http.sendRefererHeader est une option qui permet de ne pas envoyer l'en-tête HTTP_REFERRER indiquant l'origine de la navigation. Lorsque vous accédez à un site par l'intermédiaire d'un autre, le referrer indique le site origine; le site destinataire peut alors utiliser cette information pour savoir d'où vous venez et en profiter pour vous pister. Cette information est généralement utilisée par des sites affiliés – lorsque vous cliquez sur un lien depuis Amazon, Google, pour vous rendre sur un site marchand – afin de partager ensuite une commission.

La valeur 0 permet de désactiver l'envoi de cette information.

Serveur de proximité (Proxy)

Un serveur de proximité – ou proxy – est un serveur qui réécrit les requêtes qui passent par lui pour faire comme si il était le client. Il se fait donc passer pour l'usager et permet ainsi de masquer un certain nombre d'informations – adresse IP, User-Agent, …

Il existe un certain nombre de services gratuits, d'autres payants. Il est aussi possible d'utiliser les serveurs mis gratuitement à disposition des internautes – une petite recherche sur votre moteur de recherche préféré vous donnera la liste.

Les serveurs de proximité ne chiffrent pas les données comme le ferait un VPN.

Attention : mal intentionné, un proxy – notamment gratuit – peut devenir un man in the middle et capturer vos informations sensibles. Il convient donc de ne l'utiliser que pour des usages bien précis, comme masquer l'adresse IP – pour changer de localisation par exemple – et diversifier les usages mais surtout pas pour vous connecter un service authentifié – banque, messagerie…

De plus, de nombreux proxys publics ne masquent que l'adresse IP du client, ne changeant en rien le reste de son empreinte. Pour tomber sur un proxy actif et utilisable, il faut souvent en tester une dizaine auparavant. Rien n'assure non plus qu'il sera utilisable la fois suivante. Rien ne garantit sa vitesse.

Si vous désirez utiliser un proxy, optez donc pour un service proposé par une entreprise, mais vous n'aurez pas toujours le choix de la position géographique.

VPN / Tor

Un VPN (généralement payant) ou bien Tor (gratuit) permettent de masquer l'adresse IP mais rarement plus, l'objectif étant de créer un tunnel entre le client et le serveur pour empêcher un tiers indélicat d'épier la communication.

Attention : certains site ou services interdisent ou réduisent fortement l'usage de Tor, ce qui peut considérablement gêner la navigation – Captcha, etc. – mais met bien en évidence la façon dont nous sommes pistés par défaut pour identifier un individu «qui n'a rien à se reprocher».

Cette méthode n'empêche en rien le serveur consulté de récolter des données de son côté pour analyser le comportement ou pour les revendre.

Pour cette même raison, il est conseillé de n'utiliser préférentiellement que des moteurs de recherche anonymes et toutes les autres précautions d'usage. La plupart de ces entreprises proposent également un service minimal gratuit.

Moteur de recherche anonyme (métamoteur)

Un métamoteur de recherche est un serveur de proximité qui s'intercale pour interroger le moteur de recherche réel à la place du client et masquer ainsi un certain nombre d'informations comme l'adresse IP, l'empreinte, etc.

Cependant, même s'il est parfois possible de consulter les résultats de façon anonyme, sitôt qu'on bascule sur le site final pour naviguer, l'anonymat de la recherche est levée par/pour le site serveur.

La recherche anonyme est surtout utile pour éviter que l'entreprise derrière le moteur de recherche ne collecte des données sur la navigation transversale (inter-sites) mais n'empêce en rien le site consulté de collecter des informations de son côté, d'où l'utilité de combiner cet usage avec d'autres moyens de protection.

Il existe plusieurs moteurs de recherche anonymes, il convient cependant de faire attention : l'anonymat ne reste que pour le moteur de recherche sous-jacent, mais pas pour le service utilisé.

Par exemple, Startpage.net, pourtant réputé pour son respect de la vie privée, a été racheté en 2019 par Privacy One Group, propriété de l'entreprise publicitaire System1. Le métamoteur ne partage peut-être pas vos informations personnelles avec Google, mais il ne se prive peut-être pas non plus de les exploiter pour son propre compte. C'est pourquoi, partez du principe de précaution, en considérant que tout service extérieur à votre machine est susceptible de collecter vos données personnelles et prenez les contre-mesures en conséquence.

Le plus simple est d'utiliser le moteur de recherche qui vous fait plaisir, mais en passant par un proxy. La plupart des services de proxy proposent une interface web pour visiter un site par leur intermédiaire. Utilisez cette interface pour faire vos recherches. Mettez en plusieurs dans vos favoris afin de changer régulièrement.

Extensions

User Agent Switcher and Manager (recommandé par Mozilla) permet de changer le User-Agent et donc le navigateur/système d'epolitation.

Cette information étant l'une des plus importante avec l'adresse IP, elle est aussi une des plus sensibles.

L'extension permet de gérer plus finement le User-Agent que l'option privacy.resistFingerprinting. Elle permet de choisir spécifiquement une valeur parmi de nombreuses proposées.

Bien entendu, pour que l'usage soit intéressant, il convient de modifier la valeur régulièrement, sinon l'usage d'une valeur stable et inchangée est équivalente à une nouvelle machine qui finit par être repérée et le modèle du profil mis à jour en conséquence.

Il existe bien entendu d'autres extensions qui ont le même effet.

Decentraleyes (recommandé par Mozilla) permet de jouer le rôle d'un CDN à la place de ceux par défaut.

De plus en plus de sites font appel à des CDN (Réseau de diffusion de contenu) afin d'améliorer la vitesse de chargement des pages. Certains contenus sont mis en cache sur des serveurs de proximité. Le principe : plus c'est proche, plus c'est rapide. Cependant, les CDN utilisés en profitent pour pister les internautes.

Decentraleyes permet de contourner ce problème en proposant un CDN alternatif capable d'utiliser un certain nombre de ressources et de bibliothèques logicielles depuis votre machine locale. Même s'il ne bloque pas tout, il permet de diminuer drastiquement le trafic et le pistage.

Synthèse

Voici une synthèse fondée sur un usage réel :

Propriété métamoteur de recherche* VPN Tor/Privoxy privacy.resistFingerprinting Extension (type User-Agent switcher) Navigation privée Protection renforcée contre le pistage : Stricte (seul)
User-Agent Oui Non Non Oui(en-tête HTTP)/Non(javascript) Oui(en-tête HTTP)/Oui(javascript) Non Non
Accept-Language N/A Non Non Oui/Non Non Non Non
Adresse IP / Localisation Oui Oui Oui Non Non Non Non
Type ordinateur / OS Oui Non Non Oui/Non Oui Non Non
Canvas Fingerprinting Oui Non Non Oui/Non Non Non Non
Date/heure Oui Non Non Oui Non Non Non
Http-Accept-Headers Oui Non Non Non Non Non Non

* Pour la consultation des recherches seulement, mais pas sur l'ensemble de la navigation.

Bonnes pratiques

Se rendre sur le site https://amiunique.org/ pour déterminer l'unicité du profil et la rendre la plus faible possible.

L'usage d'un bloqueur de publicités/traceurs est fortement recommandé.

Il est donc conseillé a minima d'activer Protection renforcée contre le pistage = Stricte + privacy.resistFingerprinting = true

Activer l'usage HTTPS par défaut.

L'usage d'une extension de type User-Agent Switcher est fortement conseillée afin de changer régulièrement de profil de navigateur et de brouiller encore plus les pistes.

Supprimer les cookies le plus souvent possible.

L'usage de Tor est recommandé autant que possible ou un VPN.

Utiliser un proxy conjointement à un moteur de recherche ou, a minima, utiliser autant que possible un métamoteur de recherche.

L'usage de conteneurs est fortement conseillé pour limiter les pistages transversaux.

Le petit plus du chef

Pour ceux qui disposent de GNU+Linux ou GNU+BSD, le chef conseille d'accorder le thème au User-Agent défini par l'extension et de créer des profils sur la machine non pas par utilisateur, mais par User-Agent.

Ainsi, créer un profil Windows avec un thème Windows et un User-Agent = Edge + OS = Windows; un profil Mac avec un thème MacOS et un User-Agent = Safari + OS = MacOS, etc.

Il est aussi possible de réaliser la même opération en créant des profils de navigateur et en définissant un User-Agent par profil, avec un thème de navigateur adapté dans ce cas – et non un thème système.