Voici quelques étapes que je mets en place après avoir installé Firefox pour le rendre plus sécurisé et plus pratique.

Firefox

Quelques paramétrages élémentaires dans « about:preferences » (ou Menu > Options) :

  • Général > Paramètres réseaux > Paramètres > cocher Activer le DNS via HTTPS
  • Recherche > Moteur de recherche par défaut : sélectionner DuckDuckGo
  • Vie privée et sécurité > Blocage de contenu > Personnalisé :
    • cocher Traqueurs > dans toutes les fenêtres
    • cocher Cookies > Tous les cookies tiers
    • cocher Mineurs de cryptomonnaies
    • cocher Détecteur d’empreinte numérique
  • Vie privée et sécurité > Identifiants et mots de passe : utiliser un mot de passe principal
  • Vie privée et sécurité > Collecte de données par Firefox : tout décocher
  • Vie privée et sécurité > Sécurité > Protection contre les contenus trompeurs et les logiciels dangereux : tout cocher
  • Compte Firefox > Se connecter pour synchroniser

Un peu de paramétrage plus fin dans « about:config » (possible aussi en utilisant le fichier user.js) :

Extensions

Sécurité et vie privée

HTTPS Everywhere

Force l’utilisation du protocole https dans les sites qui le rendent disponible mais sont mal configurés / conçus :

  • vous allez sur une adresse http://site.com et la version https://site.com existe, vous y serez automatiquement redirigé ;
  • vous êtes sur un site qui fait intègre des éléments de http://site.com, ils seront automatiquement intégrés au protocole https si disponibles.

Installation : https://addons.mozilla.org/fr/firefox/addon/https-everywhere/

Decentraleyes

Utilise une copie locale des bibliothèques tierces plutôt que d’utiliser les versions en ligne à chaque requête (limite la bande passante et le tracking).

Installation : https://addons.mozilla.org/fr/firefox/addon/decentraleyes/

Test : https://decentraleyes.org/test/

uBlock Origin

Supprime pas mal de publicités, de trackers, de scripts… Peut aller assez loin selon la configuration.

Installation : https://addons.mozilla.org/fr/firefox/addon/ublock-origin/

Configuration : Ouvrir le tableau de bord, puis…

  • Paramètres > Activer les fonctionnalités avancées
  • Listes de filtres > Il y en a déjà pas mal, mais ça peut s’ajuster
  • Mon filtrage dynamique > Pour bloquer par défaut les scripts et cadres de tierces parties, dans la colonne de droite ajouter puis appliquer :
 * * 3p-frame block
* * 3p-script block
  • Mon filtrage dynamique > Pour que Decentraleyes prenne le dessus sur ce qu’il sait faire, dans la colonne de droite ajouter puis appliquer :
* ajax.googleapis.com * noop
* ajax.aspnetcdn.com * noop
* ajax.microsoft.com * noop
* cdnjs.cloudflare.com * noop
* code.jquery.com * noop
* cdn.jsdelivr.net * noop
* yastatic.net * noop
* yandex.st * noop
* apps.bdimg.com * noop
* libs.baidu.com * noop
* lib.sinaapp.com * noop
* upcdn.b0.upaiyun.com * noop
* cdn.bootcss.com * noop
* sdn.geekzu.org * noop
* ajax.proxy.ustclug.org * noop

Test : Prenez un site plein de merde (http://www.lefigaro.fr/) puis cliquer sur l’icône de uBlock Origin.

Dans la première colonne, pour chaque ligne correspondant à des domaines différents appelés par la page (filtrage statique géré par les listes) :

  • Indicateur rouge : domaine bloqué
  • Indicateur orange : domaine partiellement bloqué
  • Indicateur vert : domaine autorisé

Un clic sur « +Tout » en haut de la colonne vous permettra d’avoir plus de détails sur les requêtes tentées.

Possibilité d’affiner sur tous les sites (filtrage global : 2ème colonne) ou ce site seulement (filtrage local : 3ème colonne), avec comme code couleur :

  • Vert : autoriser
  • Gris sombre : ne pas prendre en compte le filtrage dynamique
  • Rouge : bloquer

Le nombre de + ou – dépend du nombre de requêtes effectuées.

Si vous voulez qu’une modification soit conservée, cliquez sur le cadenas après avoir fait votre modification.

Il est aussi possible de bloquer le Java Script par défaut : Paramètres > Comportement par défaut > Désactiver JavaScript

Enfin, la dernière partie vous permet de bloquer des types d’éléments sur le site :

Cookie AutoDelete

Permet de supprimer automatiquement les cookies, limite le pistage d’un site à l’autre.

Installation : https://addons.mozilla.org/fr/firefox/addon/cookie-autodelete/

Configuration :

  • Icône > Activer le nettoyage automatique
  • Icône > Désactiver les notifications
  • Icône > Nettoyer

À vous ensuite de choisir quels sites seront autorisés à poser des cookies jusqu’au redémarrage (liste grise) ou tout le temps (liste blanche).

ClearURLs

Nettoie les URL des éléments de tracking.

Installation : https://addons.mozilla.org/fr/firefox/addon/clearurls

CanvasBlocker

Permet de se protéger du tracking par canvas : le fait de calculer un identifiant unique selon la configuration de votre machine, et donc de vous suivre malgré les blocages.

Installation : https://addons.mozilla.org/fr/firefox/addon/canvasblocker

Test : Vous pouvez observer que vous changez à chaque fois d’id sur un site comme https://browserleaks.com/canvas

EDIT : est-il encore nécessaire maintenant que Firefox 67 semble avoir intégré cette protection en natif (mais à activer) ?

CSS Exfil Protection

Permet de se protéger des attaques par CSS.

Installation : https://addons.mozilla.org/fr/firefox/addon/css-exfil-protection

Test : Vérifiez si vous êtes protégé en allant ici : https://www.mike-gualtieri.com/css-exfil-vulnerability-tester

Smart Referer

Renvoie une fausse information comme referer à la page visitée.

Installation : https://addons.mozilla.org/fr/firefox/addon/smart-referer

Mais aussi…

Awesome RSS

Pour retrouver le bouton d’abonnement aux flus RSS et Atom.

Installation : https://addons.mozilla.org/fr/firefox/addon/awesome-rss

YouTube RSS Finder

Idem, mais pour les flux spécifiques aux chaines youtube.

Installation : https://addons.mozilla.org/fr/firefox/addon/youtube-rss-finder

LeechBlock NG

Pour bloquer des sites spécifiques sur des horaires particuliers… par exemple pour vous aider à lutter contre la procrastination…

Installation : https://addons.mozilla.org/fr/firefox/addon/leechblock-ng

Configuration : Prenons l’exemple de bloquer youtube les jours travaillés, le matin et l’après midi.

Dans Option > Block set 1

  • What to Block > Domain name : youtube.com
  • When to Block > time periods : 0800-1200,1400-1800
  • When to Block > days : Mon / Tue / Wed / Thu / Fri
  • Save option

IP Address and Domain Information

Permet de facilement récupérer quelques infos sur le site où vous êtes.

Installation : https://addons.mozilla.org/fr/firefox/addon/ip-address-and-domain-info

Barre d’outils

Maintenant que vous avez plein d’extensions, il ne faut pas hésiter à masquer certains icônes qui sont inutiles.

Clic droit sur la barre d’outils > Préférences… > Faire glisser les icônes inutiles.

Catégories : Sécurité

11 commentaires

Damien · 2 mai 2019 à 16 h 37 min

Bonjour,

Merci pour ce billet. Dans Ublock origin, je n’arrive pas à éditer les ‘My Rules’ (c’est bien à faire dans l’onglet ‘my rules/mes règles’ ??).

Vous dites :

« Configuration : Ouvrir le tableau de bord, puis…

Paramètres > Activer les fonctionnalités avancées
Listes de filtres > Il y en a déjà pas mal, mais ça peut s’ajuster
Mon filtrage dynamique > Pour bloquer par défaut les scripts et cadres de tierces parties, dans la colonne de droite ajouter puis appliquer :…
 »

Mais quand je vais dans la colonne de droite voilà ce que j’ai, capture d’écran :
http://i.imgur.com/5nIUpbv.png
Et quand j’appuie sur ‘save’, les modifications ne sont pas prises en compte.

Merci des conseils.

    Éric B. · 3 mai 2019 à 6 h 21 min

    Bonjour,
    Dans ton image, il n’y a pas de différence entre la colonne de gauche (règles permanentes) et de droite (règles temporaires), donc rien à faire.
    L’idée, c’est d’écrire ou coller les règles dans la colonne de droite (temporaires, les colonnes seront donc différentes), de les rendre permanentes en les « commitant » (basculer dans la colonne de gauche, elles deviennent permanentes,) et à ce moment tu pourras enregistrer.
    Tu ne peux pas écrire directement dans la colonne de gauche il me semble.
    Éric

      Damien · 5 mai 2019 à 14 h 54 min

      Merci pour ta réponse.

      N’arrivant pas à ajouter ou éditer les règles dans Firefox, j’ai tout d’abord exporté les régles, puis ajouter les tiennes à ce fichier exporté avec un éditeur de texte, puis importé les règles dans Ublock origin. Et ça ressemble à ça (capture d’écran) : http://i.imgur.com/TGzjen7.png

      Ca te parait normal ce que j’ai dans ma capture ?

        Éric B. · 5 mai 2019 à 19 h 30 min

        Ça me parait bien pour les règles concernant Decentraleyes, par contre je ne vois pas ce qui concerne le blocage des scripts et cadres de tierces parties qui me semble la base à avoir :
        * * 3p-frame block
        * * 3p-script block

        Mais peut être ne souhaites tu pas les bloquer.
        Éric

          Damien · 6 mai 2019 à 22 h 31 min

          Bonsoir,

          Est-ce que c’est :

          * 3p-frame block
          * 3p-script block
          ou
          * * 3p-frame block
          * * 3p-script block

          De même pour le reste doit-il y avoir en début de ligne un seul ou deux « * »
          * yastatic.net * noop
          ou
          ** yastatic.net * noop

          Éric B. · 7 mai 2019 à 7 h 31 min

          Salut,
          Sur les 3p, il faut bien les deux étoiles, elles avaient disparue sur mon article (copier/coller → correction auto) et je l’ai corrigé : merci.
          Donc : * * 3p-frame block

          La logique telle que je la comprends c’est :
          pour le site que tu consultes / concernant des éléments intégrés venant du domaine xxx / type d’éléments / ce que tu en fais

          Dans notre cas :
          * * 3p-frame block → sur n’importe quel site que tu consultes / quelque soit le domaine qui cherche à être intégré / concernant le cadre de tierce partie / tu bloques

          Pour la seconde partie, c’est pas pareil :
          * yastatic.net * noop → sur n’importe quel site que tu consultes / si tu cherche à intégrer des infos venant du domaine yastatic.net / quoique ce soit / tu ne filtres pas

          Le but étant de laisser le contenu se charger, mais il sera pris en relais par décentraleyes.
          Note que ce genre de contenu est très bloquant sur les fonctionnalités des sites, et que de toutes façons tu sera presque toujours obligé de les autoriser manuellement un à un.

          Éric

Jules · 5 mai 2019 à 21 h 11 min

Perso pareil avec uBlock. iI est répandu, mais moi je m’y fais pas ! Avant j’utilisais RequestPolicy, et depuis la bascule sur Quantum (ou je suis resté un temps à poil sur le net 🙂 ) j’ai déniché TPRB:
https://addons.mozilla.org/fr/firefox/addon/tprb/
Le principe est exactement le même: blocage radical des requêtes entre serveurs ! Mais il est tout de même plus clair et donc plus facile d’emploi je trouve perso.
En plus il y a moyen de gérer les JS. Que demander de plus ? 🙂

    Éric B. · 6 mai 2019 à 7 h 01 min

    C’est vrai qu’uBlock est particulier à comprendre… mais je m’y suis bien fait.
    Je jetterais tout de même un œil à l’extension que tu proposes, qui a vu de nez à l’air plus simple en effet.
    Merci,
    Éric

Damien · 7 mai 2019 à 8 h 07 min

Merci pour ces explications.

Denis · 16 juin 2019 à 19 h 03 min

Pour aller dans le fond des réglages de Firefox :

-> https://www.dsfc.net/logiciel-libre/firefox-logiciel-libre/firefox-plus-rapide-respectueux-vie-privee/

NB vous semblez être un lecteur assidu de mon blog. Merci.

    Éric · 20 juin 2019 à 22 h 08 min

    Bonjour Denis,
    Oui, ton blog fait parti des mes flux depuis de nombreuses années maintenant !
    Je n’ai pas encore appliqué tous tes conseils, certains me paraissent clair, et pour d’autres il faut que j’approfondisse avant surtout que je suis régulièrement sur une version ESR, donc en retard.
    Éric

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *