Sécuriser son navigateur

De La Quadrature du Net

Cette page a pour objectif de lister et partager les bonnes pratiques à adopter pour sécuriser son navigateur et protéger sa vie privée

Tester l'empreinte de votre navigateur : How unique is your browser?

Choisir et configurer son navigateur[modifier]

Choisir un navigateur libre.

Firefox[modifier]

Télécharger Firefox : https://www.mozilla.org/fr/firefox/new/

Paramétrer la gestion de ses cookies[modifier]

Firefox vous permet d'effacer vos cookies lorsque vous fermer votre navigateur, afin d'éviter que l'un d'eux ne puisse permettre de vous identifier indéfiniment au cours de vos divers sessions de navigation.

Firefox vous permet aussi d'empêcher l'enregistrement de cookies provenant de sites tiers à ceux que vous visitez (envoyés notamment par l'affichage de bannières publicitaires ou de widgets) et ainsi d'éviter que ces sites tiers ne puissent dresser une liste de sites que vous visitez.


Pour ce faire :

  • Dans Firefox, allez dans Edit -> Preferences -> Privacy ;
  • Sous "History", indiquez que Firefox doit "Use custom settings for history" ;
  • Un peu plus bas, laissez coché "Accept cookies from sites" mais, pour "Accept third-party cookies", indiquez "Never" et, pour "Keep until", indiquez "I close Firefox" ;
  • C'est fait ! Vous pouvez fermer en cliquant sur "Close".


Firefox cookies conf.jpg


Ne pas transmettre de référant[modifier]

Lorsque vous accédez à un site internet via un lien, votre navigateur envoie à ce site l'adresse du précédent site sur lequel vous avez cliqué sur ce lien, via un champ appelé "référant". Firefox peut être configuré afin de fausser ce référant et de cacher de telles informations.

Pour ce faire :

  • Ouvrez un nouvel onglet dans Firefox et tappez dans la bar d'URL "about:config", afin d'accéder aux configurations avancées du navigateur ;
  • Alors qu'un avertissement apparait à l'écran, cliquez sur "I'll be careful, I promise!" ("Je ferai attention, je promets", qui signifie que vous savez ce que vous faites... ou que vous nous faites confiance !) ;
  • Dans la barre de recherche, entrez "referer" ;
  • Double-cliquez sur "network.http.sendRefererHeader" ;
  • Dans la nouvelle fenêtre qui s'ouvre alors, remplacez la valeur présente par "0" , puis validez ;
  • C'est fait ! Vous pouvez fermer l'onglet.


Firefox referer config.png


Configurer son moteur de recherche par défaut[modifier]

Par défaut, le fait d'entrer des termes autres qu'une adresse URL dans la barre d'adresse de Firefox effectuera une recherche de ces termes sur Google.

Dans ces cas, Firefox permet de substituer d'autres moteurs de recherche à Google.

Pour ce faire (se référer à l'image de configuration du référant, la procédure étant similaire) :

  • Ouvrez un nouvel onglet dans Firefox, tappez dans la bar d'URL "about:config" et acceptez le message d'avertissement s'il apparait ;
  • Dans la barre de recherche, entrez "keyword.URL" puis double-cliquez sur la ligne "keyword.URL" qui apparait alors ;
  • Dans la nouvelle fenêtre, remplacez l'adresse présente par :
  • Validez et c'est fait ! Vous pouvez fermez l'onglet.

Choisir son moteur de recherche[modifier]

Modules à installer[modifier]

NoScript[modifier]

La page d'un site internet peut contenir de petits programmes (des "scripts" codés en Javascript, Java, Flash...) exécutés par votre navigateur sans que vous ne vous en rendiez forcément compte. Ces programmes sont nécessaires pour proposer certains services complexes sur une page internet, ou pour offir un design original ou ergonomique à leurs utilisateurs, mais permettent aussi de tracker ces derniers ou d'obtenir des informations sensibles les concernant.

Le module NoScript pour Firefox, libre et open-source, désactive l'exécution automatique de ces scripts, vous laissant le choix de les exécuter au cas par cas ou d'inscrire les sites de votre choix sur une liste blanche, de façon simple et rapide.

Télécharger NoScript


Comment utiliser NoScript :

Noscript-tuto.jpg
  • Quand vous visitez un site, cliquez sur "Options..." dans la barre NoScript, en bas à droite de votre navigateur, afin d'ouvrir le menu NoScript.
  • Certains scripts peuvent être fournis par un site tiers à celui que vous visitez - par exemple, les bannières publicitaires y étant affichées sont souvent fournies par un site tiers et peuvent contenir un script, ou bien certaines fonctionnalités du site, tel que son système de commentaire, peuvent aussi être fournies par un site tiers et nécessiter l'exécution d'un script.
  • En bas du menu NoScript, en cliquant sur "Allow exemple.fr", vous pouvez autoriser les scripts fournis par chaque site un à un - le site que vous visitez (qui est indiqué en gras) ou des sites tiers ;
  • Les sites que vous autorisez ainsi sont inscrits sur votre liste blanche, et vous n'aurez plus à les autoriser pour l'avenir ;
  • Vous pouvez toujours retirer un site de votre liste blanche en cliquant sur "Forbid exemple.fr" (le fait que cette option vous soit proposée indique d'ailleurs que ce site est sur votre liste blanche) ou en vous rendant depuis le menu dans "Options..." > "Whitelist", en sélectionnant le site désiré et en cliquant sur "Remove selected sites" ;


  • En cliquant sur "Temporarily allow exemple.fr", vous pouvez n'autoriser les scripts d'un site que pour une durée limitée - jusqu'à ce que vous fermiez votre navigateur -, sans l'inscrire sur votre liste blanche ;
  • Vous pouvez aussi révoquer l'ensemble des autorisations temporaires sans avoir à quitter votre navigateur en cliquant sur "Revoke Temporary Permissions", en haut du menu ;


  • Vous pouvez inscrire un site sur votre liste noire, afin notamment qu'il n'apparaisse plus dans le menu, en cliquant sur "Untrusted" puis sur "Mark exemple.fr as Untrusted" ;
  • Pour sortir un site de votre liste noir, il suffit de l'autoriser dans la liste "Untrusted" ;


  • Vous pouvez aussi autoriser en une seule fois, de façon permanente ou temporaire, l'ensemble des sites proposant un script en cliquant sur "Allow all this page" ou "Temporarily allow all this page" ;
  • Finalement, vous pouvez "désactiver" NoScript et autoriser la plupart des scripts, sur n'importe quel site, à s'exécuter automatiquement (presque comme si vous n'aviez pas installé NoScript) en cliquant sur "Allow Script Globaly (dangerous)" ;


Conseils d'utilisation :

  • N'autorisez l'exécution de scripts, et particulièrement ceux provenant de sites tiers, que si cela vous semble nécessaire au bon fonctionnement du site que vous visitez ;
  • N'autorisez l'exécution que de scripts provenant de sites dans lesquels vous avez confiance ou, tout du moins, que vous connaissez ;
  • N'autorisez les scripts de façon permanente que sur les sites que vous visitez régulièrement ;

HTTPS Everywhere[modifier]

De nombreux sites permettent une connexion sécurisée, via une adresse https, chiffrant et authentifiant les données échangées (en principe sensibles : codes banquaires, correspondances privées, mots de passe...), mais ne le proposent pas toujours automatiquement.

L'EFF a développé un module pour Firefox et Chromium permettant d'établir automatiquement une telle connexion quand le site visité le permet, sans avoir à configurer ou faire quoi que ce soit d'autre que de le télécharger et de l'installer sur son navigateur.

La barre d'adresse de votre navigateur vous indiquera avoir établi une connexion sécurisée avec un site en ce que l'adresse qu'elle affichera commençera par "https" précédé d'un cadena (sur lequel vous pourrez cliquer pour avoir des informations sur le propriétaire du site et le certificat l'attestant, quand celà est possible).

RequestPolicy[modifier]

Les contenus affichés sur un site internet ne sont pas tous directement fournis par ce site mais peuvent être hébergés ailleurs et fournis par un site tiers (par exemple : les bannières publicitaires sont souvent directement fournies par un site tiers chargé de les distribuer, de même que certains boutons de réseaux sociaux). Ces contenus peuvent permettre au tiers qui les fournissent de savoir qui les consultent (via leur adresse IP), quand, et sur quel site, et ainsi les tracker.

Le module RequestPolicy pour Firefox, libre et open-source, désactive l'accès automatique aux contenus présents sur un site mais fournis par un autre site, vous laissant le choix d'y accéder au cas par cas ou d'inscrire les sites tiers de votre choix sur une liste blanche, de façon simple et rapide.

RequestPolicy s'utilise pratiquement comme NoScript, bien que son objectif soit bien différent - et complémentaire.

Comment utiliser RequestPolicy :

  • Lorsqu'un contenu fourni par un site tiers est bloqué, le drapeau de RequestPolicy s'affichera en rouge en bas à droite de votre navigateur ;
  • Si le contenu bloqué est une image, cette image sera remplacé par un cadre vide portant un drapeau rouge en son centre ; en passant votre souris sur le cadre, vous pourrez voir de quel site vient le contenu bloqué ;
  • Le contenu bloqué peut aussi être une feuille de style, qui détermine la mise en page de la page, dont l'absence ne sera pas spécifiquement indiquée mais qui sera suffisamment évidente pour que vous vous en rendiez compte ;
  • Cliquez sur le drapeau de RequestPolicy en bas à droite de votre navigateur pour ouvrir le menu ;

Requestpolicy-tuto.png

Modules à éviter[modifier]

Ghostery[modifier]

Ce module est censé bloquer les scripts et diverses techniques de tracking servant à récupérer nos habitudes de navigation, mais est diffusé sous licence propriétaire et semble revendre des informations sur ses utilisateurs à des entreprises publicitaires : https://www.laquadrature.net/en/technologyreview-a-popular-ad-blocker-also-helps-the-ad-industry

Sources[modifier]