Mozilla patch plusieurs bugs dans Firefox et bloque le suivi des cookies

0

La Fondation Mozilla a publié sa dernière version du navigateur Firefox, qui est livré avec de nouvelles protections de la vie privée pour empêcher le suivi des cookies entre sites, ainsi que d’un grand nombre de correctifs de faille de sécurité.

Firefox 86, sorti la semaine dernière, inclut ce qu’il vante comme une fonctionnalité de renforcement de la vie privée appelée Total Cookie Protection. Cette nouvelle fonctionnalité isole chaque cookie attribué par chaque site Web – empêchant les sites Web de suivre les internautes d’une manière invasive et inter-sites.

« Total Cookie Protection confine les cookies sur le site où ils ont été créés, ce qui empêche les entreprises de suivi d’utiliser ces cookies pour suivre votre navigation d’un site à l’autre », a déclaré Tim Huang, Johann Hofmann et Arthur Edelstein de Mozilla.

Cookies: S’attaquer aux problèmes de confidentialité

Les cookies HTTP sont de petits fichiers de données stockés par des navigateurs Web pendant que les utilisateurs parcourent divers sites Web. Ceux-ci sont utilisés comme identificateur unique pour améliorer l’expérience de navigation web et permettre des annonces spécifiques à l’utilisateur – une partie nécessaire de l’économie d’internet.

Toutefois, le suivi des cookies peut également poser un « grave problème de vie privée », a déclaré Mozilla, parce que des sociétés tierces – comme les courtiers en données, les réseaux d’affiliation et les réseaux publicitaires – peuvent les utiliser pour suivre l’activité du navigateur des utilisateurs – même lorsqu’ils visitent d’autres sites Web. Les annonceurs peuvent ensuite utiliser les cookies de suivi pour mieux comprendre quels sites Web les utilisateurs visitent – qu’il s’agisse de sites Web de réseaux sociaux ou autre – et, en fin de compte, reconstituer une image numérique de qui sont les utilisateurs. Ces informations peuvent également être transférées à un tiers et stockées sur des serveurs distants.

« Ce type de suivi basé sur les cookies est depuis longtemps la méthode la plus répandue pour recueillir des renseignements sur les utilisateurs », ont déclaré Huang, Hofman et Edelstein. « C’est un élément clé du suivi commercial de masse qui permet aux sociétés de publicité de construire tranquillement un profil personnel détaillé de vous. »

Le Total Cookie Protection de Firefox

Total Cookie Protection vise à adresser certaines de ces préoccupations en matière de confidentialité en créant ce que Mozilla appelle un « pot à biscuits »(en anglais « cookie jar ») distinct pour chaque site Web qu’un utilisateur visite.

totale cookie protection mozilla

Chaque fois qu’un utilisateur visite un site Web, le site Web (ou le contenu tiers intégré dans le site Web) dépose un cookie dans le navigateur de l’utilisateur. Ce cookie est ensuite limité au « pot à biscuits » attribué à ce site Web – mais il n’est pas autorisé à être partagé avec un autre site Web. Cela permettrait d’éviter le suivi inter-sites invasif par diverses sociétés tierce.

Mozilla a déclaré que Total Cookie Protection crée « une exception limitée » pour les cookies inter-sites quand ils sont nécessaires à des fins de non-suivi – y compris ceux utilisés par les fournisseurs tiers populaires.

« Ce n’est que lorsque Total Cookie Protection détecte que vous avez l’intention d’utiliser un fournisseur qu’il donnera à ce fournisseur la permission d’utiliser un cookie inter-sites spécifiquement pour le site que vous visitez actuellement », ont déclaré Huang, Hofman et Edelstein. « De telles exceptions momentanément permettent une forte protection de la vie privée sans affecter votre expérience de navigation. »

Les navigateurs prennent des mesures contre les traqueurs de cookies

Mozilla est en guerre contre le suivi des cookies depuis 2018, année où ils ont annoncé une campagne bloquant le suivi des cookies par défaut dans Firefox et mettant en œuvre diverses autres mesures de confidentialité dans son navigateur. En Octobre 2018, Firefox a déployé des fonctionnalités améliorées de protection de suivi, ce qui a donné aux utilisateurs la possibilité de bloquer les cookies et l’accès de stockage à partir de trackers tiers.

D’autres navigateurs ont offert leurs propres tactiques diverses pour lutter contre les problèmes de confidentialité introduits par le suivi des cookies. Google, par exemple, a fixé en 2020 un délai agressif de deux ans pour abandonner la prise en charge des cookies de suivi tiers dans son navigateur Web Chrome. Et Apple en Mars a publié une mise à jour de son navigateur Safari qui bloquerait les cookies tiers par défaut.

Les correctifs de sécurité de Mozilla Firefox 86

Firefox 86 est également livré avec trois correctifs de sécurité pour des failles de haute gravité. Deux de ces failles existent dans la stratégie de sécurité du contenu (CSP ou « Content Security Policy »), un mécanisme de sécurité pour les navigateurs qui empêche le script inter-site, le clickjacking et d’autres attaques d’injection de code. La première vulnérabilité (CVE-2021-23969) pourrait permettre à un attaquant distant d’obtenir des données sensibles. Dans le processus de création d’un rapport de violation pour CSP, la mise en œuvre du processus par Firefox a incorrectement défini le fichier source comme destination des redirections.

« En persuadant une victime de visiter un site Web spécialement conçu, un attaquant distant pourrait exploiter cette vulnérabilité pour obtenir la destination d’une redirection », selon une analyse du moteur de recherche de vulnérabilité Vulmon.

Mozilla a corrigé cette erreur en faisant du fichier source l’origine de la destination de redirection par opposition à sa destination.

Un autre problème (CVE-2021-23968) découle du processus de rapport sur les violations du CSP. Bien que les détails concernant cette faille soient rares, Mozilla a déclaré que la vulnérabilité peut être utilisée pour divulguer des informations sensibles contenues dans les identificateurs de ressources uniformes (URI).

« Si la politique de sécurité du contenu a bloqué la navigation d’un cadre, la destination complète d’une redirection desservie dans le cadre est signalée dans le rapport de violation; par opposition au cadre d’origine URI », selon Mozilla.

Si cet article vous a plu, jetez un œil à notre article précédent.

Laisser un commentaire