~bohwaz/blog/

Avec de vrais morceaux de 2.0 !

Comment installer et configurer Firefox de manière sécurisée (en désactivant les espions et mises à jour automatiques)

Firefox à l'installation active par défaut pas mal de fonctionnalités de mise à jour et d'espionnage qui font que le navigateur et ses extensions peuvent être mises à jour à n'importe quel moment sans vous demander votre avis, supprimant des fonctionnalités du navigateur ou dans le cas des extensions pouvant apporter des malwares (le code des extensions n'étant pas toujours vérifié), comme j'ai pu le voir récemment.

En effet une de mes extensions a été compromises et une mise à jour a été envoyée qui contenait un keylogger et supprimait les onglets de mon Firefox. Normalement ça ne devrait pas se produire car le magasin d'extensions Firefox est censé être sécurisé, mais pas pour les extensions notées comme « expérimentales ». Je ne me souviens pas que celle-ci était notée comme expérimentale quand je l'ai installée mais bon je peux très bien avoir oublié. Mais de toutes façons ce n'est pas la première fois ni la dernière fois qu'une extension Firefox distribuée par Mozilla se révèle néfaste.

Bref, il est dangereux que Firefox fasse des mises à jour intempestives des extensions et pire, il fait parfois des mises à jour de lui-même qui suppriment des fonctionnalités qui étaient utilisées au quotidien. Ces mises à jour automatiques sont censées améliorer votre sécurité en cas de faille dans Firefox, mais sous Debian/Ubuntu ces mises à jour de sécurité (sans suppression de fonctionnalité) sont déjà fournies par le gestionnaire de paquets. Sous Windows utilisez un gestionnaire de paquet comme Chocolatey pour obtenir la même fonctionnalité.

Enfin par défaut Firefox envoie pas mal d'informations personnelles à des serveurs distants, ce qui en fait un véritable espion.

On va donc voir comment l'empêcher de faire cela. Les captures d'écran sont pour Windows, mais c'est la même chose pour Linux/Debian/Ubuntu.

Installation (Windows)

À l'installation de Firefox cliquer sur le bouton « Options » :

Installation de Firefox sur Windows

Puis décocher les deux cases « Envoyer des informations de cette installation à Mozilla » et « Installer le service de mise à jour en arrière-plan de Firefox » :

Désactivation mise à jour de Firefox

Configuration (toutes plateformes)

Se rendre dans les options : dans le menu « Outils », cliquer « Options ». Si la barre de menu n'apparaît pas, cliquer sur le bouton « Firefox » et dans le menu déroulant « Options » cliquer sur « Options » (oui, deux fois « Options »).

Ici d'abord désactiver tous les espions Mozilla qui envoient des informations sur votre navigation dans l'onglet « Avancé » et le sous-onglet « Données collectées » (vous remarquerez que Mozilla a choisi de ne pas placer ces options qui transmettent des informations dans l'onglet « Vie privée » mais de les cacher ici…). Décocher donc toutes les cases :

Désactiver les espions Mozilla

Puis se rendre dans le sous-onglet « Mises à jour » et cocher « Ne jamais vérifier les mises à jour », ou si vous souhaitez quand même que Firefox vous propose des mises à jour sans les installer automatiquement cochez « Vérifier l'existence de mises à jour mais me laisser décider de leur installation ». À noter que cela fera que Firefox enverra des requêtes aux serveurs de Mozilla. Je conseille de désactiver également la mise à jour des moteurs de recherche qui vous évitera de voir sans cesse réapparaître Google comme moteur de recherche même quand vous le supprimez.

Désactiver les mises à jour forcées de Firefox

Ce n'est pas terminé car ceci ne désactive pas la mise à jour des extensions, dont l'option est cachée ailleurs. Cliquez donc « OK » pour enregistrer les modifications.

Ensuite cliquez sur le menu « Outils » (ou le bouton « Firefox ») puis sur l'option « Modules complémentaires ». Là il faut cliquer sur le bouton avec une roue dentée et une flèche et cliquer sur « Mettre à jour les modules automatiquement » pour désactiver leur mise à jour.

Désactiver les mises à jour des extensions Firefox

Est-ce que c'est terminé ? Non ! Car cela n'a désactivé les mises à jour que des modules que vous installerez dans le futur, il faut maintenant désactiver les mises à jour de tous les modules déjà installés. Et oui.

Ouvrez donc un nouvel onglet et dans l'adresse tapez « about:config » puis appuyez sur la touche Entrée. Cliquez sur le bouton pour indiquer que vous savez ce que vous faites, et cherchez « update.enabled ». Ensuite pour chaque ligne de la liste double cliquez pour qu'elle soit en gras avec « false » de marqué :

Désactiver la mise à jour des extensions Firefox

Ouf ça y est c'est fait.

Désactiver les autres espions

Firefox intègre un tas d'autres espions par défaut, qu'il convient de désactiver si vous ne voulez pas envoyer de traces des sites visités à n'importe qui.

Google Safe Browsing

Ce service de Google est appelé régulièrement pour télécharger une base de données de sites censés contenir des malwares ou virus. Si c'était le cas au début cela ne semble plus faire que Firefox envoie chaque adresse de site visité à Google, ouf. Mais c'est toujours la possibilité pour Google de vous empêcher de voir les sites que vous voulez voir en les indiquant comme contenant des virus ou malwares. Je ne vois pas de raison de le laisser activé.

Pour le désactiver : Menu « Outils » → Choisir « Options » → Onglet « Sécurité » → Décocher « Bloquer les sites indiqués comme malveillants » et « Bloquer les sites indiqués comme étant des contrefaçons »

Prefetch

Cette option cachée de Firefox va télécharger à partir de la page que vous lisez une ou plusieurs autres pages que vous « pourriez » consulter ensuite. En pratique cela vous fait faire des requêtes inutiles et utiliser de la bande passante pour rien, surtout quand vous payez votre Internet au méga-octet comme sur une connexion 3G/4G.

Pour désactiver : ouvrir un nouvel onglet → Aller à « about:config » → Chercher « network.prefetch-next » → Double-cliquer pour positionner à « false »

Pour terminer une autre option qu'il est souvent utile de désactiver est « browser.urlbar.trimURLs » (dans about:config) qui cache la vraie URL de la page que vous visitez, ce qui pose un certain nombre de problèmes mais là n'est pas le sujet.

Écrire un commentaire
(facultatif)
(facultatif)
(obligatoire)
     _ _  __  __ _      _ _      
  __| (_)/ _|/ _(_) ___(_) | ___ 
 / _` | | |_| |_| |/ __| | |/ _ \
| (_| | |  _|  _| | (__| | |  __/
 \__,_|_|_| |_| |_|\___|_|_|\___|
                                 
(obligatoire)

Les adresses internet seront converties automatiquement.
Tags autorisés : <blockquote> <cite> <pre> <code> <var> <strong> <em> <del> <ins> <kbd> <samp> <abbr>

Jaz

Bonsoir ;)

Je rajouterai :

Dans about:config tapez : network.http.sendRefererHeader et mettre à 0
(ce qui évite aux sites de savoir d'où vous venez:)

Extensions indispensables :

HTTPS-Everywhere : https://www.eff.org/Https-everywhere
Flagfox : https://addons.mozilla.org/fr/firefox/addon/flagfox/
Adblock Edge (et non adblock tout court!) : https://addons.mozilla.org/fr/firefox/addon/adblock-edge/
BetterPrivacy : https://addons.mozilla.org/fr/firefox/addon/betterprivacy/
Disconnect (et non ghostery!) : https://disconnect.me/
Greasemonkey (avec le script Anti-AdBlock Killer https://userscripts.org/scripts/show/155840 ) : https://addons.mozilla.org/fr/firefox/addon/greasemonkey/

Amaury

On pourrai ajouter WOT pour remplacer le signalement de sites malveillants de Google, en mieux.

Cependant ça fait une requête vers WOT à chaque page chargée. Les requêtes sont anonymes, cependant. À vous de voir si ça vous dérange.

https://mywot.com

Esprit

Merci pour vos conseils, c'est intéressant. :-) J'ai fais un tour de Firefox pour sécuriser un peu le tout et j'ai également installé les extensions qui me manquaient.

J'utilise aussi NoScript ( http://noscript.net/ ) qui permet de bloquer les scripts javascript. Possible de bloquer une partie des scripts sur une page ou tout.