C'était attendu, c'est fait : après avoir amélioré pendant des mois ses protections contre le pistage des internautes, Firefox renforce celles actives par défaut. Une manière de se rapprocher de ses utilisateurs, mais aussi de répondre aux évolutions de la concurrence alors que le pillage des données continue.
On pouvait penser que l'entrée en vigueur du RGPD il y a un an allait modifier les mentalités, c'était sous-estimer la profondeur du mal qui touche les éditeurs et le modèle économique du web actuel.
Il est encore rare de trouver des sites qui respectent réellement la notion de consentement de l'utilisateur lorsqu'il s'agit de récolter des données, ou pire, de les fournir à des tiers à travers des scripts placés sur leurs pages. Les sites de presse sont les premiers concernés, disposant pourtant d'une bienveillance continue de la CNIL.
Mais ils sont loin d'être les seuls, les navigateurs et extensions étant les seuls acteurs à même d'apporter aux internautes une protection, un respect de leurs droits pourtant inscrits pour certains dans la loi française et européenne depuis plus de dix ans. Certains acteurs l'ont bien compris et misent de manière croissante sur la protection de la vie privée.
Protection des données : entre marketing et actions concrètes
On pense bien entendu aux opérations de « privacy washing » récente de Facebook et Google. Le premier tentant de se racheter une conscience sans véritables actions concrètes, après des années de failles en série. Le second multipliant les annonces mineures pour donner l'impression d'une évolution qui s'arrête à ses communiqués et billets de blog... la récolte et l'exploitation massive de données restant le centre de son modèle économique.
- Vie privée, chiffrement, Messenger léger, groupes, achats en ligne : les annonces 2019 de Facebook
- Google multiplie les mesurettes pour la vie privée, Chrome renforce la sécurité des cookies
Apple a de son côté opté pour une stratégie différente : le respect de la vie privée comme argument de poids pour choisir son écosystème et le rendre plus attrayant, tout en exerçant toujours un contrôle fort sur ce dernier.
La société a ainsi intégré une protection contre le pistage au sein de Safari dès 2017 : Intelligent Tracking Protection (ITP). Renforcée de manière continue depuis, elle rend plus complexe l'utilisation des cookies tiers sur les sites tout en limitant les effets de bord d'un blocage total. Une stratégie qui a porté ses fruits.
Depuis, les efforts en matière de vie privée et le discours de la société se sont généralisés. Les annonces faites à la WWDC lundi soir et l'arrivée du login Apple vont dans ce sens. Mais ce dernier nous rappelle qu'Apple reste une société misant sur des solutions centralisées, fermées, où elle est seule à avoir le contrôle.
Ainsi, elle force la main des développeurs au sein de son App Store pour l'utilisation de ce dispositif de connexion dont les modalités peuvent changer du jour au lendemain. Surtout, l'utilisation massive de ce service lui donnera une place centrale dans la relation entre les internautes et les sites, utile dans un univers de services.
Axer la communication sur la vie privée permet de ne pas trop avoir à répondre de ces questions, tout en facilitant l'adoption massive, nécessaire alors qu'Apple part avec plus de dix ans de retard sur ses concurrents.
Une stratégie intéressée que l'on retrouve également chez Brave, le navigateur basé sur Chromium ayant misé toute sa communication autour du respect de l'internaute et de la vie privée, allant jusqu'à s'associer à Qwant.
Au final, la société a récemment annoncé monter sa propre offre publicitaire sans pistage, remplaçant les espaces des sites sans leur accord... contre un pourcentage décidé par ses soins. Et pour s'assurer d'une bonne image auprès des internautes, ces derniers ont droit eux aussi à un pourcentage pendant la phase de croissance du service.
Firefox : une autre vision du web, en déclin
De son côté, Mozilla a tardé à répondre à ces évolutions, concentrée sur les évolutions techniques de Firefox ces dernières années, engluée dans les évolutions des extensions. La mise en place de fonctionnalités renforçant la protection des internautes a nécessité des mois de travail dans l'ombre avant d'être plus visible, parfois avec des compromis.
Car la fondation semble toujours prise entre deux feux : la volonté de protéger les internautes d'un côté, la nécessité de développer son modèle économique et de ne pas s'attirer les foudres de l'ensemble des acteurs du web de l'autre. Ces initiatives ne se prennent ainsi pas toujours de manière franche, avec un message parfois brouillé.
- Firefox précise son blocage du pistage en ligne, mis en place dans les prochains mois
- Firefox 63 est en ligne : entre blocage du pistage et initiatives publicitaires de Mozilla
- Firefox 65 est là : anti-pistage simplifié, AV1, WebP, Handoff, inspecteur flexbox
Ce sont peut-être aussi ces hésitations qui ont participé à la chute continue du navigateur, désormais sous la barre des 10 % depuis de nombreux mois selon NetMarketshare, contre près de 70 % pour Chrome.
Un véritable problème alors que Microsoft passe à Chromium pour Edge, la diversité et les rapports de force n'étant plus vraiment en faveur d'un web ouvert, non dominé par quelques plateformes commerciales américaines. On le voit d'ailleurs dans l'affaire qui oppose Google aux développeurs, notamment de bloqueurs de publicités, concernant l'API WebRequest.
Une affaire qui peine à se régler, chaque camp restant sur ses positions, aucun médiateur n'existant.
- Journée de la protection des données : il est peut-être temps de changer de navigateur
- 30 ans de web : face à une diversité agonisante, Tim Berners-Lee veut secouer les consciences
Make Firefox great again (mais pas que)
C'est dans ce contexte que Mozilla tente de reprendre la main avec Firefox. Dans un billet de blog, la fondation revient sur ce qui est son discours depuis quelque temps maintenant : le modèle économique du web est cassé, les pratiques des sites vont trop loin, laissant l'internaute dans une mauvaise situation.
Ces derniers doivent pouvoir reprendre le contrôle, tant de leurs données que de leur vie numérique, Firefox devant les y aider à travers ses améliorations et surtout ses engagements profonds pour un web ouvert, meilleur, manifeste à la clé. Premier acte fort : un renforcement des protections actives par défaut avec le blocage des cookies tiers.
Une position dure, mais assumée par Dave Camp, récemment nommé vice-président en charge du navigateur et de la plateforme web. Car si ce choix était annoncé et attendu, on pouvait craindre qu'il tarde à être mis en place ou qu'il ne soit mis en œuvre que de manière partielle. Ce n'est finalement pas le cas.
Consciente que la tendance au privacy washing est dans l'air du temps, Mozilla publie au passage sa « promesse » en matière de respect des données personnelles, reposant sur la minimisation de la collecte, un principe d'importance. Mais également de transparence, d'attention aux procédures de sécurité, etc.
Et d'une diversité de services qui vont dans le même sens, au-delà du simple navigateur. De Monitor pour l'information sur les fuites de mots de passe à Send pour l'envoi de fichiers chiffrés à Lockwise pour une gestion simplifiée des mots de passe. L'extension Facebook Container a également été mise à jour.
Protection contre le pistage : qu'est-ce qui change concrètement ?
À compter d'aujourd'hui, tout utilisateur installant Firefox bénéficiera de cette protection sans action supplémentaire : certains cookies tiers sont bloqués à travers le niveau standard de protection contre le pistage, actif par défaut. Cela ne concerne pas les utilisateurs actuels de Firefox, mais ce sera bien le cas dans les prochains mois.
L'équipe précise avoir travaillé à opérer ce changement sans que cela ne perturbe la navigation des internautes. Les éditeurs apprécieront que les scripts de pistage (et donc la majorité de la publicité) ne soient pas encore bloqués par défaut. Ils ne le sont qu'en navigation privée, qui représente tout de même 25 % des sessions selon Mozilla.
Il est toujours possible d'aller plus loin, en activant le mode Strict de protection, qui utilise une liste Disconnect plus large mais bloque surtout les scripts de pistage même hors de la navigation privée. Il faut toujours opter pour le mode personnalisé pour activer la protection contre le minage et les empreintes numériques (fingerprinting).
Quoi qu'elle en dise dans son annonce, Mozilla a donc encore de la marge pour améliorer sa protection par défaut dans Firefox. On comprend en effet assez mal que ces deux dernières options ne soient pas encore généralisées. Espérons que cela soit prévu dans les prochaines étapes, l'équipe n'ayant rien indiqué sur ce sujet pour le moment.
Lorsqu'un blocage est en cours sur tel ou tel site, un logo d'information est bien entendu présent, permettant sa désactivation ou son renforcement. Une liste d'exception peut être définie.
Absence de protection face au pistage : Chrome isolé
Avec cette décision de Firefox, le navigateur de Google est désormais l'un des rares à ne pas proposer de véritable solution face aux dérives publicitaires. Et pour cause : c'est le principal moteur économique de sa société mère.
Les quelques annonces faites à la Google I/O concernant les cookies ne devraient pas suffire à tromper les internautes et les acteurs du secteur plus longtemps, la société sera donc attendue au tournant. Le risque est grand, croissant : celui de voir les utilisateurs se détourner de son navigateur pour des alternatives permettant un respect de leur droit.
Certes, Chrome est désormais un réflexe pour beaucoup. Mais l'histoire des géants du monde informatique est pleine de sociétés que l'on pensait intouchables mais qui se sont pourtant effondrées face à des changements qu'elles n'avaient pas su ou voulu anticiper. Le respect de la vie privée et des internautes sera-t-il celui de Google ? L'avenir nous le dira.
D'ici là, Firefox espère bien que ses actions bienveillantes en la matière lui donneront un second souffle.
Commentaires (44)
#1
Et j’espère que Firefox sera là pendant encore de nombreuses années…
Le blocage par défaut n’est il pas une précaution en attendant un retour sur expérience a grande échelle ?
#2
Bon hop installe et go jouer dans les paramètres 
" />
#3
Ils ont déjà fait des essais ces derniers mois en prévision du blocage des cookies tiers par défaut. Le blocage du pistage par défaut c’est autre chose : bloquer les scripts revient à bloquer la pub, ce qui ferait hurler tous les éditeurs (qui se moquent des pdm de Brave & co, mais pas de FF ou Chrome)
#4
Du coup, est-ce qu’ils empiètent sur les plugins styles ublock, disconnect ou privacy badger ?
Apparemment, ils utilisent une liste de Disconnect, cette extension (au moins) risque de devenir “inutile”, à moins que l’internaute en question ne veuille une protection plus stricte de ce que je comprends.
J’espère que Mozilla va pouvoir tenir cette position car je présume qu’ils vont avoir une bonne pression de la part de certains acteurs du web.
#5
Je salue cette initiative. Utilisateur de Firefox depuis de nombreuses années, j’ai beaucoup plus confiance en Mozilla qu’en Google (pas difficile me direz-vous).
" />
Une chose m’inquiète cependant. Le jour où Mozilla activera à grande échelle les autres formes de tracking, les éditeurs inventeront des techniques plus efficaces encore ou rendront carrément impossible l’utilisation de leurs sites.
“Vous voulez utiliser nos services ? Pas de problème, désactivez complètement le content blocking de Firefox, ou changez de navigateur”.
#6
Perso ça fait plusieurs mois que j’ai désactivé (manuellement dans les options) tous les cookies tiers, et le seul problème que j’ai rencontré c’était avec le plugin Raindrop pour FF. Et vu qu’on peut autoriser (manuellement) certains cookies tiers, je pense qu’on rencontre peu de cas qui soient vraiment bloquants.
#7
En effet…
Je faisais cette hypothèse parce que j’utilise un DNS perso (pi-hole) et ma dame se plaint du dysfonctionnement de certains sites (particulièrement e-commerce). Mais ce n’est probablement pas le même type de blocage qui est implémenté dans Firefox (quoi que ça doit pouvoir s’apparenter), ou peut-être est-il moins agressif…
#8
Et que penser d’Edge dans cette bataille ?
Que ce soit Edge “classic” ou Edge “chromium”.
Sont-ils plus vertueux que Chrome ?
#9
#10
#11
Firefox + uBlock Origin + Privacy Badger + uMatrix sous Debian font des merveilles en terme de respect de la vie privée. Bon d’accord ça pète certains sites mais avec on a vraiment la paix !
#12
Pourtant :
https://microsoftedge.microsoft.com/insider-addons/category/EdgeExtensionsPasswordManagers
#13
Il faudra voir la position de MS sur ces questions une fois le travail autour du nouvel Edge achevé. C’est sans doute un peu tôt pour savoir ce qu’il en est. Ils ont bing et une offre publicitaire ou même d’édition (via MSN) mais ça reste mineur dans leur CA, du coup jouer la carte vie privée est aussi dans leur intérêt. A voir.
#14
Disons que ça arrive parfois, notamment avec des cas légitimes dont une connexion via un domaine tiers quand il est utilisé sur plus d’un site ou isolé du site principal.
Certains sites jouent aussi du blocage de fonctionnalités quand les cookies tiers sont interdits pour inciter à placer une exception. Idem pour le blocage de JS qui mène parfois à une page blanche volontairement.
#15
Alors, ils l’ont rétabli. Parce qu’ils l’avaient vraiment supprimé de la liste.
Pas plus tôt qu’il y a trois jours : https://techdows.com/2019/05/download-unlisted-ublock-origin-extension-from-edge-insider-add-ons-store.html Et du 1er juin : https://mspoweruser.com/ublock-origin-gets-unlisted-from-the-microsoft-ad-ons-store/
#16
Tu trouves encore que Privacy Badger est utile en plus de uBlock et uMatrix ? (c’est une vrai question, j’ai le même setup sous Debian mais j’ai viré Privacy Badger)
#17
L’ont-ils fait parce que leurs parts de marché font qu’ils n’ont plus rien à perdre ? Telle est la question.
Maintenant que webkit est devenu le moteur d’opera et maintenant d’edge, ça va vraiment devenir difficile d’exister pour un moteur alternatif, surtout quand les webmaster, notamment de l’état mais pas que, ne se donnent même plus la peine de tester correctement leurs outils sous Firefox.
#18
Il sert un peu, mais bon, sans plus.
#19
Pour se connecter à Canal les cookies sont nécessaire aussi.
#20
“Vous voulez utiliser nos services ? Pas de problème, désactivez complètement le content
blocking de Firefox, ou changez de navigateur”.
en effet c’est CE que je crains ?
en voulant ‘faire plaisir aux utilisateurs”, FF. risque, bien d’y laisser quelques-plumes !
#21
Perso, je suis très partagé sur le sujet.
Pour l’instant, l’analytics fait partie des cookies tiers autorisés, mais si on constate trop d’abus à ce niveau là, une partie des sites vont soit:
Je croise les doigts en tant qu’utilisateur et pro pour qu’il n’y ait pas d’escalade, donc…
#22
#23
#24
Je ne sais pas à quels sites tu fais référence. Mais en général, comme le dit l’actu ce sont les sites de presse qui optent pour ce comportement. Et rares sont les sites à avoir l’exclusivité d’une info. Ils ont plus besoin de lecteurs que les lecteurs n’ont besoin d’eux. Donc il ne faut pas plier, ceux qui exigent de débloquer le bloqueur (ce qui est illégal comme l’a rappelé David) n’ont qu’à aller se faire voir. Il faut changer de source et ne pas céder. Au bout de quelques mois, ils verront leur fréquentation diminuer, et y réfléchiront peut-être. Perso, je ne veux pas visiter un site avec un flingue sur la tempe, on n’est pas au far west. JE choisis ce qu’un site peut savoir de moi, pas l’inverse.
#25
A quand un Decentraleyes natif et par défaut ?
" />
#26
Sinon il y a aussi CookieAutoDelete qui dégage tous les cookies du site à la fermeture de son onglet. Je trouve que ça marche très bien avec ma façon de naviguer. A utiliser avec uBlock origin en parallèle.
#27
L’analytique ne nécessite pas forcément d’accord ou de tracking trop approfondi. Et surtout, on peut se passer de Google !
Matomo (ancien Piwik, libre) est autorisé par la CNIL en y apportant certains réglages (principalement l’anonymisation des données). Si ceux-ci sont respectés, pas besoin de demande d’autorisation à l’utilisateur.
Actuellement, le forum NXI est justement analysé via Matomo, une instance installée par moi-même sur nos serveurs, avec tous les réglages de la CNIL.
Je crois qu’il en est de même avec NXI d’ailleurs.
Par contre, µBlock Origin bloque le tracker de Matomo de façon aveugle.
Recommandations de la CNIL :
https://www.cnil.fr/fr/solutions-pour-les-cookies-de-mesure-daudience
#28
exactement ce que je fais , je trouve ça très pratique
#29
“C’était attendu, c’est fait : après avoir amélioré pendant des mois ses
" />).
protections contre le pistage des internautes, Firefox renforce ceux
actifs par défaut.”
Je comprend pas comment protections devient ceux actifs (ou alors protections est devenu masculin).
Plus sérieusement, ça fa me fait plaisir de voir mon navigateur aller dans le bon sens (le mien
#30
Question bête, on dispose d’un recours contre les sites qui mettent en place ce genre de pratique ?
#31
‘merci’ !
" />
#32
Question un peu HS, mais dans le thème.
J’ai Firefox avec ublock origin, refus des cookies tiers, et des containers pour facebook et amazon (via les extension éponymes).
Hors quand je vais sur amazon, j’ai systématiquement la pub des produits visités qui apparaît sur facebook (aparté : ils rendent difficiles le masquage de leurs pubs d’ailleurs, mais j’ai une règle xpath dans ublock qui fonctionne, elle met juste parfois un peu de temps à s’appliquer, donc j’ai le temps de voir les pubs).
Donc vous avez une idée de comment ils font pour faire un tracking entre les 2 ?
#33
Hélas, il suffit juste de dégrader un peu l’expérience utilisateur sous Firefox pour laisser croire aux gens que Chrome c’est mieux, car avec lui au moins ça marche.
Je me permettrais de viser Google, car bizarrement, Gmail connait quelques couacs sous Firefox uniquement, et lesdits couacs ne sont pas résolus (pourtant ils datent…). Ex : videz votre dossier Spam, le nombre d’éléments dans ce dossier ne repasse pas à zéro, il faut faire F5 pour que l’UI se mette à jour. Des petits trucs comme ça il y en a plusieurs. Ce n’est pas la fin du monde, mais ça fait brouillon et ça peut devenir chiant.
Alors qu’ils ne fassent pas croire que c’est un bug compliqué, qui n’arrive que sur certaines configurations exotiques (à moins que ce soit Firefox qui soit exotique) hein ^^.
#34
Dans la vie, il n’y a pas encore quelqu’un qui surveille si je regarde les pubs dans les journaux ou dans la rue. Je ne vois donc pas pourquoi j’accepterais cela lorsque je navigue sur Internet. Surtout que sans outil de pistage, la consultation d’une page donne déjà pas mal d’information.
Il y a toujours de la pub dans la rue ou dans les journaux, ce qui veux dire qu’il doit y avoir d’autres moyens de mesurer l’efficacité de sa communication. C’est sûrement bien plus compliqué et moins précis, mais cela donnera plus de valeur à ceux qui font se boulot.
#35
“Absence de protection face au pistage : Chrome isolé”
Étape 2 du plan : une fois en position d’hégémonie, ne rien faire sur la lutte contre les tracker, le principal étant Google lui-même.
Etape 3 : tous les sites sont compatibles Chrome et plus vraiment avec les autres (syndrome IE).
Etape 4 : profit
#36
Franchement j’ai pas tous les problèmes évoqués dans les commentaires.
J’ai jamais croisé le moindre site qui « marche mieux sous Chrome ».
Déjà en tant que dev web, je trouve que c’est assez difficile en 2019 d’écrire du JS ou du CSS qui fonctionnent dans un browser moderne mais pas un autre. Et c’est quasiment impossible avec un toolchain de build moderne. Ce genre de bug j’en corrige peut être un ou deux par an et c’est jamais bloquant.
Donc faire un site qui ne marche que sous Chrome, faut quand même y aller très très fort. Et perso ce site là s’il existe, ça ne me dérange pas trop de passer mon chemin:
#37
#38
Chrome “isolé ” avec 70% de pdm, et probablement plus en comptant chromium… Avec tous les mobiles qui utilisent le navigateur par défaut qui est soit webkit soit chrome directement en plus… Ça sent mauvais pour Mozilla cette histoire.
#39
GMail ? GMaps ? Les produits Google en général, qui demanderont à passer sous Chrome ?
C’est d’ailleurs déjà le cas…
Tu crois vraiment que la fréquentation des sites Google va diminuer ?
#40
Je n’ai pas parlé de diminution de fréquentation. J’ai parlé de ne pas utiliser un site s’il ne convient pas.
#41
#42
#43
Il y a quelques années …
http://www.25hoursaday.com/weblog/2014/02/17/HowFacebookKnowsWhatYouLookedAtOnAm…
#44
Qu’ils (h)urlent, peut-être qu’enfin nous pourrons les débusquer…
" />