Fingerprinting : minimiser la prise d’empreintes dans Firefox

C’est sur le site Panopticlick de l’EFF Electronic Frontier Fondation que vous pourrez mesurer à quel point la collecte d’informations à partir de votre navigateur est extrêmement facile à partir des sites que vous visitez. Sans l’éviter complètement, vous pouvez réduire la prise d’empreintes.

Désactiver l’énumération des plugins dans Firefox

Du fait de la disparition dans Firefox 43 de l’option plugins.enumerable_names accessible à partir de about:config,  vous devrez désormais recourir à un autre stratagème, en utilisant l’extension GreaseMonkey et en ajoutant un script à Firefox. Après l’installation de l’extension, cliquez sur l’icône du module dans la barre d’outils de Firefox et choisissez Nouveau Script. Vous devez indiquer un espace de nom.

Fingerprinting : minimiser la prise d'empreintes dans Firefox

Le code à ajouter dans le script est :

Object.defineProperty(navigator, "plugins", {value: []});

Fingerprinting : minimiser la prise d'empreintes dans Firefox 

 Polices de caractères  fournies par Adobe Flash Player

C’est un autre élément de Fingerprinting. Pour ne pas communiquer la liste des polices de votre système, éditez sous Windows le fichier C:\Windows\SysWOW64\Macromed\Flash\mms.cfg. Ajoutez au fichier :

DisableDeviceFontEnumeration = 1

Changer le User-Agent

Vous pouvez aussi vider de sa substance la variable User-Agent qui envoie au site visité les informations de versions de l’OS et du navigateur. A partir de la barre d’adresses, tapez à nouveau about:config et recherchez general.useragent.override. Je vous recommande, pour ma part, d’utiliser celui utilisé dans Tor Browser :

Mozilla/5.0 (Windows NT 6.1; rv:38.0) Gecko/20100101 Firefox/38.0

Fingerprinting : minimiser la prise d'empreintes dans Firefox

Le canvas fingerprinting

C’est une des méthodes très utilisées pour identifier très précisément votre navigateur. Le canvas fingerprinting consiste à identifier le navigateur en créant un jeton numérique. Ce jeton créé sur le site est ensuite échangé avec les régies publicitaires. Vous pouvez très simplement le désactiver en installant sur Firefox l’extension CanvasBlocker. Dans les options du module, choisissez Block Everything au niveau du Block Mode. J’ai l’impression que la désactivation de ce type d’empreintes accélère le chargement des pages !

Retour à Panopticlick

Imaginons, un seul instant que tout le monde en fasse de même ! Le fingerprinting deviendrait bien plus compliqué, n’est-ce pas ?

Fingerprinting : minimiser la prise d'empreintes dans Firefox

Tracking  / Adobe Flash Player Canvas Canvas Fingerprinting Fingerprinting Firefox Tor Browser User Agent 

Commentaires

Effectivement, si tout le monde procédait de la sorte, les signatures seraient moins nombreuses (réduction du nombre de combinaisons possibles pour la partie User-Agent), et donc le risque d’avoir une signature unique diminue.

Mais par contre, si peu de gens font ça, et en plus sans se mettre d’accord sur la valeur à placer dans le User-Agent, je crains que la procédure ne vous rende plutôt plus facile à identifier : en personnalisant votre User-Agent, vous augmentez le risque d’unicité de votre signature !

Pour vraiment compliquer la vie de l’identification par la signature, il faudrait plutôt s’assurer de changer la signature à chaque requête (ou à minima, pour chaque site visité). Si ça n’existe pas déjà, il pourrait par exemple être intéressant de développer une extension Firefox qui ajouterais dans la chaîne User-Agent une variable aléatoire, modifiée fréquemment.

Notez par ailleurs que si je me trompe pas, un site ne peut pas récupérer la liste des extensions de navigateur. C’est la liste des plug-ins qui est récupérable en configuration par défaut. Ce n’est pas tout a fait la même chose, et AdBlock n’est par exemple pas détectable par ce biais (c’est une extension), contrairement par exemple à Flash ou VLC (ce sont des plug-ins).

@Matt

Tout à fait d’accord !

Précision c’est bien la la liste des plugins. Errare humanum est…

L’objectif aussi est d’éviter de donner trop d’informations dans le cadre notamment de failles de sécurité.

C’est quoi ce user agent que t’utilise?
Installe Blender.
Par contre je ne sais pas comment minimiser l’information que donne lles HTTP accept headers.

@ANONYMOUS

Pas besoin de Blender. On peut changer les valeurs dans about:config.

Pour les Privoxy users :

FILTER: CanvasBlocker
s@(\w\.getImageData\((.*?)\));|(\w\.toDataURL\((.*?)\));@@

Emprunter à Black Rider depuis…
http://sourceforge.net/p/ijbswa/mailman/message/34703492/

Unissons nos forces contre le tracking, contre ces abominables ad techs, dénué(e)s de toute éthique et contre le pillage de nos vies privées. Allez faire un petit tour sur…
https://www.prxbx.com/forums/forumdisplay.php?fid=49

Cordialement,

Votre Ad Sniper

@Faxopita

Super intéressant ! J’ai trouvé une extension Disable WebRTC qui assure cette fonctionnalité !

Je suis toujours un peu sceptique face à certaines recommandations.
pour citer le rapport de l »EFF:
« Sometimes, technologies intended to enhance user privacy turn out to make fingerprinting easier. Extreme examples include many forms of User Agent spoofing (see note 3) and Flash blocking browser extensions »

https://panopticlick.eff.org/browser-uniqueness.pdf

C’est vrai que si on fait tout ça, il y a de fortes chances d’être pour le coup encore plus « rare » en termes d’empreintes ! ;+)

Laisser un commentaire

(requis)

(requis)