Wiki d'Albakham

Pleins d'infos utiles

Outils pour utilisateurs

Outils du site


wiki:configurer-firefox

Sécuriser firefox

Firefox est un formidable navigateur open-source respectant votre vie privée qu'il convient tout de même de sécuriser aux maximum de ses possibilités. Pour cela nous allons passer par la page de configuration about:config et par certaines extensions firefox.

Extensions Firefox

Mes extensions indispensables afin de naviguer avec un semblant de vie privée :
* µBlock-origin , un excellent bloqueur de publicités. Très efficace et léger en ressources. Il peut bloquer selon la configuration : publicités, traqueurs, widgets de réseaux sociaux… et il est vraiment facile de créer ses règles pour supprimer les parties gênantes d'un site web.
* Decentraleyes, permet d'injecter les ressources localement, en cache, augmentant la rapidité d'affichage de la page en réduisant les requêtes sortantes vers Google et autres…
* PrivacyBadger, retire les cookies d'identification des requêtes non filtrées par µBlock-origin et Decentraleyes (requêtes nécessaires au bon fonctionnement des pages web.
* HTTPS Everywhere, pour accéder par défaut en https aux sites voulus.
* Cookie Autodelete, supprime automatiquement les cookies du navigateur selon la configuration que l'on paramètre.

D'autres extensions qui méritent qu'on leur accorde notre attention :

* Firefox Multi-Account Containers: Permet de créer des onglets contextuels: Cela isole les onglets les uns des autres. Un onglet ainsi isolé n'a pas accès aux cookies des autres onglets. Vous pouvez aussi le configurer pour qu'il ouvre certains sites toujours de manière isolée.
* Exemple 1: Vous pouvez vous connecter dans un onglet isolé sur votre compte Twitter ou Google et empêcher Google/Twitter de traquer votre surf dans les autres onglets.
* Exemple 2: Vous pouvez ouvrir plusieurs comptes différents en même temps sur le même site.
* Grammalecte, un excellent correcteur grammacital qui ne fait appel à aucun service externe.
* Dark Mode, pour lire les pages web le soir sans s'exploser les yeux. (Juste un bouton à appuyer pour basculer.)


Configuration

Si vous n'avez ni le temps, ni la patience de suivre la totalité de cette page, je vous conseil de vous rendre directement à la synthèse des paramètres à modifier !

Étant un logiciel libre, Firefox vous offre la liberté de modifier amplement sa configuration, pas seulement ses «Préférences» très limitées, ce qui vous permet de mieux protéger votre navigateur, votre vie privée et votre ordinateur.
Mais sans GNU/Linux, tout ceci est une illusion complète.

En fait, presque tout est là sur une page d’aide de Mozilla.org (How to stop Firefox from making automatic connections — Comment empêcher Firefox de faire des connexions automatiques [à des sites comme Google, Mozilla, ou autre]). Vous pouvez aussi vous inspirer d’une page du wiki de Trisquel et de la documentation de TorBrowser (en la comprenant bien) : The Design and Implementation of the Tor Browser.

Cet article permet de regrouper en une longue page des suggestions pour paramétrer une configuration de Firefox plus sécurisée. Pour plus d’informations, voyez le Petit Livre de Firefox sur Libre-Fan.

Pour tester votre navigateur globalement, c'est ici : https://panopticlick.eff.org

Je vous invite à vérifier la fuite WebRTC d'adresse IP que celui ci occasionne ou non sur https://www.privacytools.io/webrtc.html.

Avertissement

  • :!: Lisez d’abord tout ce qui suit :!:
  • Choisissez ce qui vous convient après avoir fait des recherches supplémentaires, si besoin
  • :!: Rien n’est obligatoire :!:
  • :!: Rien n’est garanti — il se peut que certains services marchent mal avec cette configuration modifiée :!:
  • Les paramètres qu’il est plutôt risqué de désactiver sont entourés de smileys exclamatifs, comme pour ces trois avertissements

NB : Certains, au lieu de vider la valeur d’un champ dans la page de configuration de Firefox, la remplacent par deux parenthèses : {} ou deux crochets : []. Mozilla indique simplement de vider le champ.

La page de configuration de Firefox

Pour modifier des paramètres de Firefox qui ne sont pas accessibles dans les «Préférences», ouvrez un nouvel onglet pour accéder à la page de configuration du navigateur :

  • Tapez les mots suivants dans le champ de l’URL :
    about:config
  • Cochez la case qui vous prévient que vous êtes à l’orée d’une zone dangereuse (vous pouvez vraiment casser votre Firefox), donc :!: soyez prudents :!:
  • Clic sur le bouton qui vous ouvre la page de configuration
  • Pour trouver un paramètre, collez ou tapez une chaîne de caractères (indiquées tout au long de cet article) sans espace à la fin ni au début, dans le champ «Recherche» en haut de la page, qui est indiqué par ma pastille orange dans l’image ci-dessous.

Voici une image de la page about:config  :

Et maintenant, allons-y

C’est un classique.

  • Dans about:config, trouvez la chaîne de caractères network.prefetch-next
  • Double clic sur la ligne qui s’affiche, ce qui fait passer sa valeur à «False» (Faux).

Désactiver «DNS prefetching» (préchargement des DNS)

Encore un classique.

  • Dans about:config, trouvez network.dns.disablePrefetch
  • Double clic sur la ligne qui s’affiche, ce qui fait passer sa valeur à «True» (Vrai).

Désactiver «Speculative pre-connections»

C’est une désagréable nouveauté, sous prétexte de faire accélérer Firefox. Vous posez votre souris sur un lien, précisément pour vérifier ce qui se cache dessous. Si je vois que c’est un lien vers Google, je ne vais pas cliquer. Mais, tant pis pour moi, c’est comme si j’avais déjà cliqué car la connexion se fait déjà en arrière-plan.
Désactivez ce paramètre :

  • Dans about:config, trouvez network.http.speculative-parallel-limit
  • Double clic sur la ligne qui s’affiche, ce qui affiche sa valeur, que vous devez modifier à «0».

Désactiver les appels à Google

Si vous n’allez pas sur n’importe quel site sur le web, si vous êtes prudents, vous pouvez vous épargner l’espionnage de Google en échange de votre protection.
:!: Si vous n’êtes pas prudents sur le web ou pas sûrs de vous, ne désactivez pas ces paramètres :!:

Dans les «Préférences» > «Sécurité» :

  • Décochez la case devant la ligne «Bloquer les sites signalés comme étant des contrefaçons»
  • Décochez la case devant la ligne «Bloquer les sites signalés comme étant des sites d’attaque».

Ces deux paramètres se retrouvent dans les deux premiers éléments figurant dans la suite de cette partie :

  • Dans about:config, trouvez browser.safebrowsing.enabled
  • Double clic sur la ligne qui s’affiche, ce qui fait passer sa valeur à «False» (Faux) — si ce n’est pas déjà le cas.
  • Dans about:config, trouvez browser.safebrowsing.malware.enabled
  • Double clic sur la ligne qui s’affiche, ce qui fait passer sa valeur à «False» (Faux) — si ce n’est pas déjà le cas.
  • Dans about:config, trouvez browser.safebrowsing.downloads.enabled
  • Double clic sur la ligne qui s’affiche, ce qui fait passer sa valeur à «False» (Faux).
  • Dans about:config, trouvez browser.safebrowsing.downloads.remote.enabled
  • Double clic sur la ligne qui s’affiche, ce qui fait passer sa valeur à «False» (Faux).

:!: Si vous n’êtes pas prudents sur le web ou pas sûrs de vous, ne désactivez aucun des paramètres ci-dessus :!: Désactiver ce paramètre ne cause pas de dégâts mais vous perdez des informations à jour sur les modules, ce qui peut être gênant.

  • Dans about:config, trouvez extensions.getAddons.cache.enabled
  • Double clic sur la ligne qui s’affiche, ce qui fait passer sa valeur à «False» (Faux).

Désactiver les appels à Google Analytics

C’est la dernière invention de Mozilla pour récupérer des statistiques concernant les modules installés. C’est tout à fait honteux de passer par un des services d’espionnage de Google.

  • Dans about:config, trouvez la chaîne de caractères extensions.webservice.discoverURL
  • Double clic sur la ligne qui s’affiche, ce qui affiche sa valeur, que vous supprimez en appuyant sur la touche [Suppr] du clavier (vous videz la valeur du champ) ou vous tapez http://127.0.0.1 (=localhost).

Désactiver la mise à jour de la liste de blocage des modules

:!: Pas toujours judicieux de désactiver cette fonction qui est faite pour bloquer des modules nocifs ou qui n’ont pas été vérifiées par Mozilla :!:

En revanche, si vous utilisez un petit nombre de modules sérieux que vous connaissez bien et que vous suivez régulièrement, ce paramètre peut être désactivé.

  • Dans about:config, trouvez extensions.blocklist.enabled
  • Double clic sur la ligne qui s’affiche, ce qui fait passer sa valeur à «False» (Faux).

Désactiver la mise à jour automatique des modules

:!: Si vous désactivez la mise à jour automatique des modules, il faudra penser vous-mêmes à le faire, d’un petit clic, régulièrement. Tout cela se trouve dans le «Gestionnaire de modules» des Préférences. Faites à votre convenance mais faites en sorte que vos modules, tels que NoScript, uBlockO ou uMatrix …, soient régulièrement mis à jour. Pensez-y vous-mêmes ou alors faites confiance à Mozilla (qui utilise un CDN qui n’est pas sur les serveurs de Mozilla …).

Désactiver «Pocket»

En principe, «Pocket» devrait avoir disparu de Firefox mais dans Firefox 50, (Debian Jessie), il est toujours là.

Ne confondez pas Pocket et le Mode Lecture («Reader View»).

  • Il faut commencer par supprimer l’icône dans la barre des icônes, ce qui supprime aussi le marque-page spécial «Pocket List» :
    Clic droit sur l’icône et clic sur «Retirer de la barre d’outil»
  • Dans about:config, tapez pocket dans le champ de recherche
  • Double clic sur les lignes affiche la valeur « True », pour la faire passer à «False» (Faux)
  • Trouvez browser.toolbarbuttons.introduced.pocket-button ou quelque chose d’analogue
  • Double clic sur la ligne qui s’affiche, ce qui fait passer sa valeur à «False» (Faux).

Si vous avez désactivé Pocket avant de supprimer l’icône, vous ne pourrez pas supprimer le marque-page. Donc, il n’y a plus qu’à recommencer dans le bon ordre :

  1. il faut activer de nouveau Pocket en passant la ligne qui contient les termes browser enabled à «True»
  2. puis supprimer l’icône comme indiqué plus haut
  3. et enfin désactiver de nouveau Pocket — ouf.

Désactiver l’intégration de DRM (EME) dans Firefox

Vous pouvez désactiver l’intégration de DRM (EME) dans Firefox très simplement :

  • Dans about:config, trouvez media.eme.enabled
  • Double clic sur la ligne qui s’affiche, ce qui fait passer sa valeur à «False» (Faux).

Codec OpenH264

À priori, il faut se méfier des plugins et OpenH264 de Cisco en est un. Vous pouvez le désactiver dans la page des plugins de Firefox accessible depuis la page «Add-ons» / «Modules». Ce plugin est désactivé par défaut dans Debian. Il est plus sûr de modifier le paramètre suivant :

  • Dans about:config, trouvez media.gmp-gmpopenh264
  • Double clic sur la ligne qui s’affiche, ce qui fait passer sa valeur à «False» (Faux).
  • Puis, trouvez media.gmp-manager.url
  • Double clic sur la ligne qui s’affiche, que vous supprimez en appuyant sur la touche [Suppr] du clavier (vous videz la valeur du champ).
  • Et enfin, trouvez media.gmp-provider.enabled
  • Double clic sur la ligne qui s’affiche, ce qui fait passer sa valeur à «False» (Faux).

Il se peut que les intitulés de ces paramètres soient différents pour votre Firefox (Dans mon Firefox 50, ce sont toujours ces termes, peut-être parce que le profil de mon Firefox est ancien). Dans ce cas, cherchez des termes plus courts : openh264, media  …

Désactiver l’envoi de vidéo vers un appareil ou un support externe

L’envoi de vidéo vers un appareil une fonction gadget qui peut être dangereuse. Firefox ne doit pas assurer la communication directe entre un site web et une clé USB, par exemple, encore moins un smartphone.

  • Dans about:config, trouvez browser.casting.enabled
  • Double clic sur la ligne qui s’affiche, ce qui fait passer sa valeur à «False» (Faux).

Désactiver WebGL ou le neutraliser

WebGL n’est pas sans danger parce que c’est une fonction liée à JavaScript qui peut récupérer des informations sur votre système.
Vous avez le choix de le désactiver dans Firefox ou dans le module NoScript. C’est plus efficace de le faire en priorité dans Firefox car un module peut se trouver désactivé, pas à jour, etc. mais si vous en avez besoin un jour, il faut vous souvenir comment le réactiver ^_^

Désactiver WebGL dans Firefox

  • Dans about:config, trouvez webgl.disabled
  • Double clic sur la ligne qui s’affiche, ce qui fait passer sa valeur à «True» (Vrai).

Désactiver WebGL dans NoScript

Il est plus souple et plus pratique de désactiver WebGL dans NoScript. Voyez :

  • La configuration du module NoScript dans [Firefox] Comment utiliser uBlock Origin – 2
  • Et en particulier l’image de l’onglet «Embeddings» («Objets Embarqués») de NoScript.

Neutraliser WebGL dans Firefox

Vous pouvez aussi ne pas désactiver WebGL dans Firefox (seulement dans NoScript) et neutraliser son espionnage pontentiel, de cette manière :

  • Dans about:config, trouvez webgl.disable-extensions
  • Double clic sur la ligne qui s’affiche, ce qui fait passer sa valeur à «True» (Vrai)
  • Puis, trouvez webgl.min_capability_mode
  • Double clic sur la ligne qui s’affiche, ce qui fait passer sa valeur à «True» (Vrai)

Cette solution, donnée par l’équipe de TorBrowser, semble la plus raisonnable.

Désactiver «Firefox Hello»

«Firefox Hello» a disparu depuis Firefox 49.
«Firefox Hello» est encore présent dans Firefox ESR 45 mais il est en principe désactivé. Vous pouvez le vérifier.
Si vous n’avez pas l’usage de Firefox Hello, il vaut mieux le désactiver :

  • Dans about:config, trouvez loop.enabled
  • Double clic sur la ligne qui s’affiche, ce qui fait passer sa valeur à «False» (Faux).

Désactiver WebRTC

WebRTC est un nouveau protocole de communication qui s'appuie sur JavaScript qui peut transmettre votre adresse IP derrière votre VPN.

«Firefox Hello» a disparu depuis Firefox 49.
Si vous n’utilisez aucun service passant par WebRTC (comme Movim ou Jitsi par ), il est aussi très simple de désactiver WebRTC dans Firefox :

  • Dans about:config, trouvez media.peerconnection.enabled
  • Double clic sur la ligne qui s’affiche, ce qui fait passer sa valeur à «False» (Faux)

Si vous conservez WebRTC, il est alors recommandé d’utiliser uBlock Origin et de cocher un paramètre dans le tableau de bord, pour sécuriser WebRTC : voyez Comment utiliser uBlock Origin.

Si vous voulez vous assurer que tous les paramètres WebRTC sont réellement désactivés, modifiez également ces paramètres:

  • media.peerconnection.turn. disable. disable = true
  • media.peerconnection.use_document_iceservers = false
  • media.peerconnection.video. enabled. enabled = false
  • media.peerconnection.identity. identity. timeout = 1

Maintenant, vous pouvez être sûr à 100% que WebRTC est désactivé.

Désactiver quelques fonctions dom

Source : Documentation TorBrowser (voir lien plus haut en début d’article). :?: NB  : il ne s’agit pas d’essayer de transformer votre Firefox en TorBrowser mais ces désactivations semblent de bon sens, comme par exemple, bloquer la récupération possible par les sites web que vous visitez de la liste de vos périphériques USB :

  • Dans about:config, trouvez dom.gamepad.enabled
  • Double clic sur la ligne qui s’affiche, ce qui fait passer sa valeur à «False» (Faux).
  • Dans about:config, trouvez dom.battery.enabled
  • Double clic sur la ligne qui s’affiche, ce qui fait passer sa valeur à «False» (Faux).
  • Dans about:config, trouvez device.sensors.enabled
  • Double clic sur la ligne qui s’affiche, ce qui fait passer sa valeur à «False» (Faux).

Désactiver la «télémétrie»

La «Telemetry» ne semble utile que pour très peu de gens.
Commencez d’abord par fermer Firefox et supprimez le répertoire «Telemetry» dans votre profil de Firefox. Après les changements ci-dessous, il ne devrait pas réapparaître (bug réparé en juillet 2015) :
Dans about:config, tapez simplement le mot telemetry dans le champ de recherche pour afficher tous les paramètres s’y rapportant :

  • toolkit.telemetry.cachedClientID — videz la valeur du champ
  • toolkit.telemetry.enabled — faites passer sa valeur à «False»
  • toolkit.telemetry.infoURL — videz la valeur du champ
  • toolkit.telemetry.previousBuildID — videz la valeur du champ
  • toolkit.telemetry.server — videz la valeur du champ
  • toolkit.telemetry.server_owner — videz la valeur du champ
  • toolkit.telemetry.unified — faites passer sa valeur à «False»
  • toolkit.telemetry.archive.enabled — faites passer sa valeur à «False».

Après ces changements, la fonction «Developer» incluse dans Firefox (pour les webmestres, essentiellement) marche encore. À vous de voir si tout marche bien pour votre usage de «Developer».

Je pense tout de même que ces deux lignes parmi toutes celles ci-dessus devraient suffire :

  • toolkit.telemetry.enabled — faites passer sa valeur à «False»
  • toolkit.telemetry.unified — faites passer sa valeur à «False»

Synthèse rapide

Voici un petit résumé des paramètres à appliquer dans Firefox :

Préparation :

  • Entrez “about: config” dans la barre d'adresse de firefox et appuyez sur Entrée.
  • Appuyez sur le bouton “Je prend le risque !”
  • Suivez les instructions ci-dessous….
  1. privacy.firstparty.isolate = true
    • Résultat de l'effort fourni par Tor Uplift, cette préférence isole toutes les sources d'identification du navigateur (cookies, par exemple) vers le domaine de la première partie, dans le but d'empêcher le suivi à travers différents domaines.
  2. privacy.resistFingerprinting = true
    • Résultat de l'effort fourni par Tor Uplift, cette préférence rend Firefox plus résistant au traçage du navigateur.
  3. privacy.trackingprotection.enabled = true
    • C'est la nouvelle protection de suivi intégrée de Mozilla. Il utilise la liste de filtres de Disconnect.me, qui est redondante si vous utilisez déjà les filtres tiers uBlock Origin, vous devez donc la définir sur false si vous utilisez les fonctionnalités complémentaires.
  4. browser.cache.offline.enable = false
    • Désactive le cache hors ligne.
  5. browser.safebrowsing.malware.enabled = false
    • Désactivez la vérification des programmes malveillants par Google. Risque de sécurité, mais protection de la vie privée.
  6. browser.safebrowsing.phishing.enabled = false
    • Désactivez les appels à Google pour les alertes de phishing. Risque de sécurité, mais protection de la vie privée.
  7. browser.send_pings = false
    • Cet attribut serait utile pour permettre aux sites Web de suivre les clics des visiteurs.
  8. browser.sessionstore.max_tabs_undo = 0
    • Même avec Firefox réglé pour ne pas se souvenir de l'historique, vos onglets fermés sont stockés temporairement dans Menu → Historique → Onglets récemment fermés.
  9. browser.urlbar.speculativeConnect.enabled = false
    • Désactiver le préchargement des URLs autocomplètes. Firefox précharge les URLs qui se complètent automatiquement lorsqu'un utilisateur tape dans la barre d'adresse, ce qui est un problème si des URLs sont suggérées et que l'utilisateur ne veut pas se connecter. Source
  10. dom.battery.enabled = false
    • Les propriétaires de sites Web peuvent suivre l'état des batteries de votre appareil. Source
  11. dom.event.clipboardevents.enabled = false
    • Désactivez le fait que les sites Web peuvent recevoir des notifications si vous copiez, collez ou coupez quelque chose à partir d'une page Web, cela leur permettant de savoir quelle partie de la page a été sélectionnée.
  12. geo.enabled = false
    • Désactive la géolocalisation.
  13. media.navigator.enabled = false
    • Les sites Web peuvent suivre l'état du microphone et de la caméra de votre appareil.
  14. network.cookie.cookieBehavior = 1
    • Désactiver les cookies
      • 0 = Accepter tous les cookies par défaut
      • 1 = N'accepter que ceux du site d'origine (bloquer les cookies tiers)
      • 2 = Bloquer tous les cookies par défaut
  15. network.cookie.lifetimePolicy = 2
    • les cookies sont supprimés à la fin de la session
      • 0 = Accepter les cookies normalement
      • 1 = Demande pour chaque cookie
      • 2 = Accepter uniquement pour la session en cours
      • 3 = Accepter pour N jours
  16. network.http.referer.trimmingPolicy = 2
    • Envoyer uniquement le schéma, l'hôte et le port dans l'en-tête Referer
      • 0 = Envoyer l'URL complète dans l'en-tête Referer
      • 1 = Envoyer l'URL sans sa chaîne de requête dans l'en-tête Referer
      • 2 = Envoyer uniquement le schéma, l'hôte et le port dans l'en-tête Referer
  17. network.http.referer.XOriginPolicy = 2
    • N'envoye l'en-tête Referer que lorsque les noms d'hôtes complets correspondent. (Remarque: si vous remarquez un cassage important, vous pouvez essayer 1, combiné avec un ajustement de la politique XOriginTrimmingPolicy ci-dessous. Source
      • 0 = Envoyer Referer dans tous les cas
      • 1 = Envoyer Referer aux mêmes sites eTLD
      • 2 = Envoyer Referer seulement quand les noms d'hôtes complets correspondent
  18. network.http.referer.XOriginTrimmingPolicy = 2
    • Lors de l'envoi de Referer à travers les sources, envoi uniquement le schéma, l'hôte et le port dans l'en-tête Referer des requêtes cross-origin. Source
      • 0 = Envoyer l'url complète dans Referer
      • 1 = Envoyer l'url sans chaîne de requête dans Referer
      • 2 = N'envoyer que le schéma, l'hôte et le port dans Referer
  19. webgl.disabled = true
    • WebGL est un risque potentiel de sécurité. Source

Sans fin

Il est prudent de vérifier une fois de temps en temps si toutes vos modifications ont été conservées lors d’un passage à une nouvelle version de Firefox — les paramètres commençant par datareporting sont parfois modifiés par Mozilla. Vous pouvez bien sûr enregistrer vos modifications dans un fichier auquel Firefox ne touchera pas dans votre profil : user.js. Ce fichier vous impose néanmoins de vérifier de temps à autre que les paramètres d’un nouveau Firefox ne rentrent pas en conflit avec votre user.js.
Pour aller plus loin, vous pouvez vous inspirer du fichier concocté par Pants et publié sur Ghacks.net. Bonne lecture (en anglais) :-D

Cet article est susceptible d’être modifié. L’informatique n’est pas statique et le web ne va pas vers la simplicité, ni vers le respect des internautes et de leur vie privée …

wiki/configurer-firefox.txt · Dernière modification: 2018/03/12 22:39 par albakham