L'Internet Crime Complaint Center du FBI (IC3) vient d'émettre un « message d'intérêt public » au sujet du « malvertising » et des publicités trompeuses visant à promouvoir le téléchargement de logiciels malveillants pouvant contenir des rançongiciels.
L'Internet Crime Complaint Center du FBI (IC3) a pour mission de « fournir au public un mécanisme de signalement fiable et pratique pour soumettre des informations » au sujet des « activités criminelles présumées facilitées par Internet », mais également de « développer des alliances efficaces avec les forces de l'ordre et les partenaires industriels ».
Dans un « message d'intérêt public » (« Public Service Annoucement », en VO) qu'il vient de publier, l'I3C explique que des cybercriminels « utilisent les services de publicité des moteurs de recherche pour se faire passer pour des marques et diriger les utilisateurs vers des sites malveillants qui hébergent des ransomwares et volent les identifiants de connexion et autres informations financières » :
« Les cybercriminels achètent des publicités qui apparaissent dans les résultats de recherche sur Internet en utilisant un domaine similaire à une entreprise ou un service réel. Lorsqu'un utilisateur recherche cette entreprise ou ce service, ces publicités apparaissent tout en haut des résultats de recherche, avec une distinction marginale entre une publicité et un résultat de recherche réel. Ces publicités renvoient à une page web qui ressemble à s'y méprendre à la page web officielle de l'entreprise usurpée. »
Or, ce genre de pages web frauduleuses « contient un lien vers le téléchargement d'un logiciel qui est en réalité malveillant », d'autant que la page de téléchargement semble légitime, et que « le téléchargement lui-même porte le nom du programme que l'utilisateur avait l'intention de télécharger ».
Ces publicités « ont également été utilisées pour usurper l'identité de sites web financiers, notamment des plateformes d'échange de crypto-monnaies ». Ces sites malveillants « se présentent comme de véritables plateformes d'échange invitant les utilisateurs à saisir des identifiants de connexion et des informations financières », ce qui leur permet d'accéder et de voler leurs fonds et données :
« Bien que les publicités des moteurs de recherche ne soient pas malveillantes par nature, il est important de faire preuve de prudence lorsqu'on accède à une page web par un lien publicitaire. »
Attention aux URLs
Le FBI recommande dès lors aux particuliers de prendre les précautions suivantes :
- avant de cliquer sur une publicité, vérifiez l'URL pour vous assurer que le site est authentique. Un nom de domaine malveillant peut ressembler à l'URL prévue, mais avec des fautes de frappe ou une lettre mal placée ;
- plutôt que de rechercher une entreprise ou une institution financière, entrez son URL dans la barre d'adresse d'un navigateur Internet pour accéder directement à son site officiel ;
- utilisez une extension de blocage des publicités lorsque vous effectuez des recherches sur Internet.
Le FBI recommande par ailleurs aux entreprises de prendre les précautions suivantes :
- utilisez des services de protection de domaine pour être alerté lorsque des noms de domaines similaires sont enregistrés afin d'éviter l'usurpation de domaine ;
- sensibiliser vos utilisateurs aux sites Web usurpés et à l'importance de vérifier l'exactitude des URL de destination ;
- indiquez aux utilisateurs où trouver les téléchargements légitimes des programmes fournis par notre organisme.
Le « malvertising » existe depuis (au moins) 2007
Ce n'est pas la première fois que les autorités américaines recommandent de bloquer les publicités. En mai 2018, la NSA expliquait (.pdf) ainsi que « le blocage sélectif du contenu (par exemple, le blocage des publicités par le biais d'une extension de navigation ou via le réseau) doit être utilisé pour empêcher la communication avec des scripts et des domaines malveillants » :
« Les bloqueurs sélectifs de contenu correctement configurés peuvent avoir un impact très faible sur la navigation quotidienne sur le Web et offrir des avantages significatifs en termes de sécurité et de convivialité. »
En juillet de cette même année, elle consacrait un mémo dédié (.pdf) expliquant comment « bloquer les contenus web publicitaires inutiles », au motif, là encore, que « les cyber-attaquants peuvent exploiter les publicités malveillantes ("malvertising") pour installer des logiciels malveillants » :
« Malgré la nature bénigne de la plupart des contenus publicitaires, la publicité est un vecteur connu de distribution de logiciels malveillants depuis plus de dix ans. Cette attaque [...] permet à un acteur malveillant de cibler les utilisateurs en fonction de leur localisation, de leurs centres d'intérêt, de leurs habitudes de navigation et d'identifiants spécifiques au système, tels que les versions des logiciels. »
En 2007, l'Internet Storm Center (ISC) du SANS Institute qualifiait en effet le malvertising de « méthode criminelle en ligne relativement récente qui semble axée sur l'installation de logiciels indésirables ou carrément malveillants par le biais de réseaux de médias publicitaires sur Internet ».
À l'époque, il reposait principalement sur des fichiers Adobe Flash SWF contenant du Flash ActionScript codé de manière malveillante.
Attention aux faux adblockers
La NSA précisait qu'« en outre, le blocage de ce type de contenu peut réduire le trafic à la frontière du réseau, ce qui simplifie l'analyse des incidents et améliore les performances du réseau ».
Elle soulignait cela dit que certaines des extensions de navigateur bloquant les publicités « adoptent un modèle commercial gratuit qui génère des revenus en collectant des informations sur l'utilisateur et des données de navigation ».
Or, « comme les extensions de navigateur fonctionnent à un niveau privilégié dans l'environnement du navigateur, elles ont accès à la plupart des données qui entrent et sortent du navigateur ». L'installation d'une extension de blocage des publicités devrait dès lors se faire « avec une grande prudence ».
S'il s'agissait d'une extension elle-même malveillante, elle pourrait en effet « compromettre davantage la sécurité du réseau qu'une attaque de publicité malveillante, même si elle était installée à partir de magasins d'applications de navigateur réputés ».
La NSA rappelait par ailleurs que le recours à de telles extensions pourrait restreindre l'accès à certains contenus légitimes et utiles, en bloquant certaines dépendances, et qu'il fallait dès lors pouvoir utiliser des mécanismes de listes blanches et d'exceptions au principe de blocage.
La CNIL, de son côté, rappelait en 2020 que la version mobile de Brave dispose d'une fonctionnalité native de blocage des annonces publicitaires.
Commentaires (108)
#1
Intéressant et pas surprenant.
Ublock origin est le meilleur bloqueur devenu indispensable à la navigation. Je ne sais pas comment les gens font pour naviguer sans bloqueurs, notamment sur leurs téléphones alors que c’est facile d’installer Firefox + ublock origin.
Les bloqueurs de pubs ne fonctionneront d’ailleurs plus sous Chrome avec le manifestv3, passez tous à Firefox !
#1.1
j’ai abandonné chrome-like depuis cette dernière nouvelle : je fuis les gafamnt (j’utilise plus google du tout, ni sur le tel..)
quant à ton raisonnement que chacun devrait avoir un bloqueur :
pour moi c’est devenur pour le web ce que l’antivirus est à l’ordinateur en général.
aller sur internet sans antivirus, c’est comme aller aux p*tes sans protection. Ni plus, ni moins.
cependant, meme récemment encore j’ai vu des gens, du cadre senior à matine de la compta chez elle, avoir un chrome en navigation normale au quotidien, compte google jamais déconnecté, fichiers temporaires, cookies jamais vidés (j’ai vu l’ordi d’une famille avec >10go de données temp), qui accepte tous les cookies et sans protection autre que l’antivirus..
donc le cookie, la pub et autres arnaques ont largement la longue vie devant eux…!!
#2
L’implémentation d’une extension malveillante de blocage des publicités
doit se faire avec une grande prudence. Un tel logiciel pourrait compromettre davantage
la sécurité du réseau qu’une attaque de publicité malveillante, même s’il est installé
à partir de magasins d’applications de navigateur réputés. »
c’est des coups à devenir parano !!!
SI même les sites officiels ‘ne jouent pas le jeu’ pour nous aider !
#2.1
Eh oui. Quand tu vois que même des entreprises avec pignon sur rue ont pu se faire pirater et déployer à leur insu du code malveillant dans leurs propres applications…
Côté extensions de navigateur tu peux également très bien avoir un dev d’extension qui se fait pirater le compte où il stocke le code ou celui où il met en ligne l’extension.
Tu peux aussi avoir un dev auquel on propose de “racheter” son extension pour bénéficier de sa réputation et de ses utilisateurs, et ainsi pouvoir déployer ce qu’on veut à la place. Un peu comme il y a des comptes sur les réseaux sociaux qui se font racheter et se mettent à publier de la pub ou des contenus sponso.
Sur Firefox a priori tu peux faire confiance aux extensions recommanées (celles avec la coupe) car des devs de Mozilla sont censés revoir le code avant tout déploiement. Je ne crois pas que ce dispositif existe sur les autres navigateurs.
#3
Vive Adguard !
#4
C’est effectivement très vieux, vu que ça fait partie de ce qui a produit la réputation disant que les sites de
balançaient des virus.
Les sites pirates (cul, warez, etc) étaient (et j’imagine sont toujours) bardés de pubs daubées et vu la nature des sites, y’avait pas de scrupules.
#5
Pour android, il y a blockada, pas celui qui se trouve dans le store mais l’apk qu’il faut installer à la main
#6
FBI je vous supplie de prôner cette bonne paroles. Pour une fois je suis pour le matraquage médiatique.
Vive les addblocker vive la liberté.
#7
Le saviez-vous ? Firefox est connu pour être le seul navigateur Android permettant d’installer des extensions dont uBlock Origin, et Brave est connu pour être le seul navigateur Android basé sur Chromium permettant de bloquer les pubs, mais ça n’est pas le cas.
Kiwi Browser est un navigateur Android basé sur Chromium permettant d’installer des extensions dont uBlock Origin mais aussi tout ce qui est sur le Chrome Web Store ou téléchargeable en CRX, contrairement à Firefox qui est limité à une liste*.
Je dois aussi mentionner Bromite qui est comme Brave (bloque les pubs mais ne supporte pas les extensions.
+1 pour AdGuard qui permet le blocage à l’échelle du système via la fonctionnalité VPN d’Android.
Bien que l’appli soit payante (et vaille le coup, perso j’ai acheté une licence à vie), il est possible de l’obtenir légalement gratuitement en remplissant le formulaire bêta une fois par an, c’est pas beaucoup demandé, je l’ai fait quelques fois.
Blokada est une alternative open source, mais qui contrairement à AdGuard, n’implémente pas le filtrage HTTPS, ce qui fait tout de même une différence notable d’efficacité.
#7.1
D’accord sur tout. Je suis moi aussi utilisateur ravi d’Adguard.
Un point seulement : le navigateur Yandex accepte aussi les applications anti-pubs et toutes celles que l’on souhaite. Disponible pour Windows, Linux et Android. J’utilise les trois. Pour Apple, j’ai pas vérifié.
Mais Yandex est… russe. Au moins d’origine, comme Adguard du reste. Vous n’entendrez donc jamais parler de ce navigateur basé sur Chromium et excellent. Tout les geeks technophiles occidentaux sont inconsciemment formatés US. La bannière étoilée flotte définitivement sur leur territoire mental conquis. Implémenter un Adguard dans leur cerveau pour contrer le bourrage de crâne US ?
#7.9
Yandex supporte effectivement les extensions depuis plus longtemps que Kiwi n’existe, mais la dernière fois que j’ai testé, il n’était pas possible de changer le moteur de recherche par défaut et la page “nouvel onglet” par défaut, rendant très chiante l’usage de ce navigateur en occident.
#7.2
Tu peux aussi citer Vivaldi, qui a lui aussi un bloqueur de pubs natif (même sur Android). Mais je préfère DNSFilter à Blokada (pour des raisons d’impact sur les performances avant tout, surtout sur un vieil appareil sous Android 5.1.1).
Oh, faut se calmer, un peu ! C’est pas parce qu’un logiciel est conçu par un Russe que c’est forcément le mal absolu. Moi-même, j’ai utilisé Winaero pour corriger certains trucs de Windows 10 qui me déplaisaient, et devine la nationalité de son concepteur ? Même chose pour youtube-dl jusqu’à l’année dernière, et ne parlons pas du script utilisateur « 7ktTube | 2016 REDUX » qui redonne une apparence pré-Polymer à YouTube.
À un moment, faut arrêter de se la jouer Caliméro, surtout à mauvais escient comme ici.
#7.3
AdGuard sans payer sur android c’est facile :
Chercher dns privé dans les paramètres android,
Remplir le champ avec le dns de AdGuard filtrant les pubs (il a changé dernièrement, je ne l’est plus en tête).
C’est 100% gratuit et efficace, pas besoin de VPN.
Sur iOS la seule possibilité que j’ai trouvé en plus de Adblock c’est de changer les dns sur les paramètres de réseau wifi.
#7.4
Pareil pour nextdns que je préfère, Adguard a des limitations plus importantes prévues pour la version gratuite à la fin de la bêta.
#7.6
Cf. ma réponse à coco74
#7.5
L’efficacité du DNS AdGuard est la même que celle de Blokada : ça bloque les domaines publicitaires par DNS menteur, mais ça ne peut pas bloquer des URLs précises, ça n’est donc pasm aussi efficace que l’appli AdGuard en mode VPN ou que uBlock Origin dans un navigateur.
#7.7
Il faut se faire un serveur adguard home pour ça (j’ai rarement vu un truc aussi simple et bien foutu). Et en plus tu peux configurer du DoH ou DoT.
#7.8
J’utilise également AdGuard Home, mais uniquement pour filtrer un minimum les appareils non configurables tels que assistants vocaux et ampoules connectées.
Toutefois, ça ne remplace pas AdGuard Android ou uBlock Origin car un DNS menteur ne fait pas tout.
#7.10
Merci pour avoir pris le temps d’écrire ce commentaire, très fouillé et très complet !
Très instructif !
#8
Vous arrêtez pas de parler d’Ad Guard, mais ça fait quoi de plus que Blokada?
#8.1
Cf. l’avant-dernier paragraphe de mon commentaire.
#9
Entièrement d’accord. J’ai jamais écrit autre chose. Et ravi d’appendre que youtube.dl fait partie du club. Je viens juste de l’utiliser. D’ailleurs, ma version pirate d”Adobe Reader à vie, je la soupçonne…
#10
DNSfilter est libre et très efficace. L’ami SebSauvage en a d’ailleurs fait un tuto (et propose ses propres listes, contre les pubs et le pistage, y compris dans les applications).
#10.1
Cf. ma réponse à coco74
#11
Déjà fait. Mais je le désactive exceptionnellement pour vous.
#12
Personnellement, sur pc Nextdns avec les filtres adéquats + unlock origin et sur téléphone uniquement nextdns.
Au moins via dns 0 conso de batterie sur le téléphone, j’ai un Adguard premium 5 appareils à vie dont je me sers plus si ça intéresse des gens.
#13
Vivaldi aussi sur Android intègre un bloqueur de pubs.
#14
Sur Android, Edge aussi a un bloqueur de pub intégré.
#15
Sur Android, vous pouvez utiliser Firefox Beta depuis le Play Store ou Fennec ou Mull depuis F-Droid.
Ensuite, direction les paramètres, à propos de et cliquer 5x sur le logo pour activer le mode développeur.
Enfin, dans les paramètres toujours, vous pouvez configurer votre collection de modules personnalisée.
Vous pouvez créer une collection sur le site Firefox ou bien utiliser la mienne si voulez (id: 14525050, nom: SuperITMan-Android)
Firefox, c’est la liberté 😃
#16
Le bonheur ce combo
Faux.
Manifestv3 arrive sur Firefox.
En ce qui concerne l’histoire des bloqueurs qui ne fonctionneront plus, je ne sais pas. J’ai pas assez de connaissance sur le sujet et flemme de chercher de suite.
#17
Je préfère rethinkDNS puisqu’il fait combo DNS filtrant + firewall.
#17.1
Ho mais ça à l’air cool ! Je vais essayer !
#18
Cf. ma réponse à coco74
#19
Ben comme ça je vois pas trop.
J’ai l’impression qu’Ad Guard est compatible qu’avec certains navigateurs. Sur Blokada (l’apk, pas la version PlayStore) ça bloque sur tout le téléphone, et avec un navigateur comme Brave qui à un bloqueur intégré ça rajoute une couche
#19.1
Tout comme Blokada, il faut télécharger AdGuard sur le site officiel, pas sur le Play Store.
#20
Non ça n’est pas «faux». Firefox implémente manifestv3 mais conserve la compatibilité avec les anciennes API. Chrome ne sera compatible que manifestv3 ce qui réduira énormément l’efficacité des bloqueurs de pubs (on peut considérer qu’il ne marcheront plus, car ils seront contournés).
Donc les bloqueurs de pubs comme ublock origin ne fonctionneront que sur Firefox.
https://www.nextinpact.com/article/69350/blocage-publicitaire-et-manifest-v3-visions-contraires-chrome-et-firefox
#20.1
Bien vu pour le lien, je m’endormirai moins con ce soir. Ou pas
Par contre dans ton lien il est dit ceci :
“Le message sera alors clair : venez chez nous, vos extensions y fonctionneront comme avant. Du moins pas tout à fait, puisque Firefox abandonnera lui-aussi le support du Manifest V2 à la même date.”
Du coup c’est plus compliqué que ça j’ai l’impression. Il faut que je relise l’article entièrement parce que ça met le doute.
#21
Pour moi un satisfecit du gvt américain
c’est la plus mauvaise pub au monde
uBlock Origin point barre …
#22
En gros, Firefox passe à manifestV3 mais conserve certaines (anciennes) API dont celle qui permet à ublock de fonctionner.
#22.1
Donc Chrome pourrait faire pareil non ?
Ton premier commentaire laissait penser que manifestv3 = adblocker HS.
En fait c’est plus compliqué que cela si on parle d’API en plus.
Effectivement, Chrome pourrait faire comme FF sur le support.
#23
Je rédige ce message depuis Yandex avec Duckduckgo comme moteur de recherche par défaut. Le navigateur s’ouvre sur la ou les pages actives au moment de la fermeture. Tout cela est paramétrable. Aucun problème d’usage.
As-tu installé la bonne version ? Moi, c’est Version 22.9.1.1110 beta (64-bit). Un “.deb” qui s’installe avec GDebi. Sous Ubuntu. Mais pas de problème non plus pour les versions Windows et Android.
La seule grosse lacune de Yandex, c’est la traduction des pages qui est très inférieure à ce que propose Chrome/Chromium. Cela étant, l’application Mate Translate fait à peu près le travail, sans doute en s’appuyant sur Chrome/Chromium d’ailleurs…
Sinon, les autres navigateurs sont soumis très majoritairement au Patriot Act. Comme je peine à voir ce que le GRU/FSB pourrait vouloir apprendre de moi, le choix est vite fait. Firefox pour certains usages et Yandex comme navigateur courant.
#23.1
Ce n’est pas la version bureau que j’ai testée, mais la version Android.
Il y a effectivement un choix de moteur de recherche, mais je ne peux pas y ajouter Brave ou StartPage ou une instance Searx par exemple.
Aussi je ne vois pas comment accéder aux paramètres des extensions (pour gérer les listes de blocage uBlock Origin par exemple).
Comme plateformes de traduction, je recommande DeepL, Linguee et WordReference.
#24
Bonsoir, quelqu’un connais adAway sur Android disponible sur F-Droid?
si oui est-il efficace ?
Pa avance merci
#25
Perso je n’utilises pas d’Adblocker car toute ta navigation passe par l’éditeur qui doit analyser les URLs et les filtrer depuis que j’ai vu l’intervention de cet expert en sécurité : https://www.youtube.com/watch?v=m6S-vjU6E1s
J’utilise et paie tous les ans Malwarebyte qui m’a été recommandé par un collègue qui travaille à la sécurité IT.
#26
Très efficace.le meilleurede tous. Je l’utilise depuis toujours. Mais faut être root.
#27
Non pas du tout. C’est Google qui a créé le manifestv3 pour Chrome et ils ont volontairement enlevé l’API qui permet l’accès complet à la requête pour faire ce que fait un bloqueur de pub (pour des raisons officielles de sécurité des extensions) donc ils n’ont aucune raison de faire comme Firefox vu que ce sont eux qui créé cette situation. Si ils avaient voulu toujours supporter cette API, ils ne l’auraient tout simplement pas enlevée de la nouvelle norme…
Mozilla c’est différent, ils suivent le manifestv3 parce que les navigateurs Chromium sont largement majoritaires. Mozilla veut permettre la compatibilité des extensions développées pour Chrome avec Firefox.
C’est juste qu’ils continuent à supporter cette API en plus de la norme manifestv3, et donc Firefox sera le seul navigateur à conserver des extensions des bloqueurs de pubs complet.
La raison probable non avouée de Google est probablement de tuer volontairement les bloqueurs de pub. Il ne faut pas oublier que le business de Google est de vendre de la pub. Google contrôle le développement de Chromium, donc l’écrasante majorité des parts de marché des navigateurs (Chrome, Edge, Vivaldi, Opera, Brave, etc. tous basé sur Chromium).
#27.1
C’est beaucoup plus clair. Merci d’avoir pris le temps de répondre un tel pavé.
À l’heure actuelle, Chrome c’est le seul navigateur basé sur Chromium qui l’a joue comme ça ou d’autres sont dans ce cas ?
J’imagine que Brave va se la jouer Firefox sur ce point.
#28
Ben, je connais et utilise mais ça ne te traduit pas instantanément ou presque une page à l’ouverture. Ce que fait à peu près bien Mate Translate, version payante. Ça, c’est sur ordinateur. Sur smartphone, la seule traduction de page efficace que je connaisse est celle de Chrome. Donc, pour lire le nytimes ou theguardian, pas d’autre moyen.
#28.1
Hé bien c’est entre autres pourquoi je recommande Kiwi Browser dans mon commentaire, qui pour info, était centré sur Android.
Kiwi Browser supporte les extensions tout comme Yandex, mais permet d’accéder à leurs paramétrage : perso j’utilise également AdGuard et donc pas uBlock Origin, mais pour un utilisateur de Blokada par exemple, uBlock Origin serait toujours utile, mais accéder à son paramétrage serait primordial.
De plus, plein d’autres extensions sont peu utilisables sans leur paramétrage, comme Violentmonkey, Dark Reader, LibRedirect, etc…
Et Kiwi permet d’ajouter n’importe quel moteur de recherche.
Il permet aussi d’accéder à DevTools !
Bref, il permet plein de choses que seuls les navigateurs de bureau permettent habituellement, ce qui pour ma part en fait le meilleur navigateur mobile.
#28.3
Hum… À l’installation, Kiwi Browser demande des autorisations embarrassantes :
« Vous acceptez : Publicités et contenu personnalisés, mesure de performance des publicités »
J’ai comme un doute sur ce navigateur.
#28.4
Deux raisons à cela :
#28.2
Je ne retiens que : “The guardian” … Pitard quel panard si on avait ce genre de presse ici bas !!!
#29
Là, c’est juste le cas d’AdBlock, pas de tous les bloqueurs de pubs (qui, comme le rappelle très justement ::1, ne sont rien de moins que les préservatifs du Web) et sûrement pas celui d’uBlock Origin, le seul bloqueur que l’on peut recommander si on n’est pas un vendu (parce que le seul fait bénévolement par un mec, et pas par une entreprise qui n’a de raison d’être que de faire du profit).
#30
Vivaldi avait aussi communiqué sur le sujet en septembre dernier. Pour le moment c’est encore assez flou mais ils en expliquent l’impact supposé (leur bloqueur intégré utilise les mêmes API).
Et dans la conclusion ils indiquent qu’ils contourneront/lèveront les restrictions comme ils ont fait pour toutes les autres saletés intégrées par Google dans Chromium. Par contre aucune garantie pour les extensions tiers si elles se basent sur d’autres mécaniques.
#30.1
Ok, c’est un sujet à bien suivre donc.
Ce serait fou de plus avoir d’adblock un jour. Ça fait plus de 10 ans que j’en utilise, je fais pas la pute non plus si le site n’abuse pas. Comme ici, sur gamergen ou korben par exemple.
Par contre je couple sur le PC en tout cas, avec NoScript. Ultra chiant au début x) Mais après c’est le feu.
Après, j’suis pas ultra fan des autorisations que l’on donne à ces plugins. C’est pour ça aussi que j’en ai que 3. DarkReader pour finir le trio.
À 0h je vais me transformer en citrouille, je ne pourrait plus répondre
#31
Tous les adblockers fonctionnent de cette manière, du moins sous Manifest V2, c’est ainsi qu’elles appliquent leurs magie.
uBlock Origin est contournable et a déjà été compromis (corrigé depuis), d’une manière général, l’adblocker n’attrape que les fruits à porter de main, c’est une méthode souvent surestimé par certains utilisateurs qui au mieux réduit temporairement la surface d’attaque contre certains acteurs malveillants les moins néfastes, mais qui en créer une autre par la suite (accès à tous tes URLS, confiance dans des listes tiers, leaks, affaiblissement de l’isolation entre les sites etc).
Une approche naïve et faible est tout à fait acceptable si celle-ci se base sur un modèle de menace claire, si tu cherches plus de commodité sur les sites web à cause des pubs gênantes ou si tu veux que les sites se chargent plus rapidement, un adblocker qui filtre et analyse tout les sites peut répondre à tes besoins, mais il faut être conscient des implications de certaines options en matière de confidentialité et de sécurité.
#32
Tous les navigateurs sur Chromium vont suivre automatiquement. Seuls ceux qui décident d’ajouter un support à d’autres API le feront, mais j’y crois pas du tout car ça demande beaucoup plus de développement et de maintenance car il faudrait développer un fork de Chromium en parallèle. C’est pas juste de l’interface et 3 bidules à coté comme le fait Vivaldi, c’est vraiment au cœur de Chromium.
#32.1
Donc si je pige bien, ce sera plus compliqué et donc honereux pour un Brave de maintenir une compatibilité contrairement à Firefox ?
Je me paume un peu. Parce que finalement c’est pas qu’une histoire d’API en plus de ne pas être qu’une histoire de manifestV3 si je ne suis pas complètement paumé.
Autant avant ce message j’avais l’impression d’avoir capté. Autant là.
C’est la nouvelle année ça.
Merde, c’est la semaine prochaine !
#33
Vivaldi modifie des éléments du code de Chromium quand cela est nécessaire (ex : FloC avait été désactivé). Dire que le travail qu’ils font sur le navigateur est “juste de l’interface et 3 bidules”, c’est très réducteur. L’un des développeurs explique même comment maintenir un fork de Chromium. Ca va bien au delà du rebrand.
#34
manifestV3 c’est juste la norme à suivre pour respecter l’API, l’implémentation c’est autre chose. Brave par exemple n’implémente rien, c’est juste un skin et des paramètres de Chromium spécifiques. Mais c’est Chromium quoi.
La différence entre Mozilla et tous les autres concurrents de Google, c’est que Mozilla est la seule entreprise à développer et maintenir un navigateur, les autres ne font rien de tout ça, c’est juste du superficiel. En gros ils ont les compétences et les épaules de faire ça, pas les autres.
Je ne connais pas le détail, mais il faut voir. Toutes les fonctionnalités ne demandent pas forcément le même développement. FLoC ça semble être juste une fonctionnalité à désactiver. Pour l’API request, ça demande de maintenir une base de code conséquente. C’est pas le même ordre de grandeur en terme de coût de maintenance. Après oui c’est possible. Mais j’ai de gros doutes, ils ont pas la capacité de maintenir ce genre de fonctionnalité.
#35
Google fourni le moteur Chromium qui est une base pour d’autres développeurs qui veulent l’utiliser, ils peuvent ensuite créer leurs propres versions de Chromium, cela inclut le développement et la maintenance, tout comme il est possible de le faire avec Gecko, ton affirmation est fausse.
#36
Ce que tu dis n’a pas de sens. Et mon affirmation n’est pas fausse. Changer un paramètre de Chromium c’est une autre version de Chromium ok. Mais là on parle de faire des modifications bien plus conséquentes que les navigateurs Chrome-like qui ne modifient pas de manière significative Chromium. Donc ce que tu dis est inutile et ne fait pas avancer le débat.
#37
Je ne suis pas dans le débat, je suis tombé sur ton message où tu affirmes que seule Mozilla développe et maintient un navigateur tandis que les développeurs sur Chromium ne font que du superficiel, ce n’est pas vrai, merci de rester respectueux.
#38
Quel navigateur maintient un véritable fork de chromium ? Et quelles fonctionnalités différentes ?
Tu viens juste affirmer “c’est faux” sans aucun argument. Autant dire que tu es au niveau d’un troll.
#39
Il n’y a pas de vérltables ou de faux fork de Chromium, tous sont des forks, même Google Chrome, il s’agit de leurs propre version de Chromium, seule l’interface est la même, ce qui rends l’expérience utilisateur très proche du Chromium de base.
Edge, Chrome, Vivaldi, Brave, Bromite, Kiwi, Vanadium etc, tous ses navigateurs nécessittent la maintenance et le dévelloppement, ce n’est pas parce qu’ils sont basés sur Chromium qui est fourni par Google que ce n’est pas le cas, chacuns de ses navigateurs ajoutent leurs propres fonctionnalités, leurs durcissements (ou la réduise), et d’autres changements, comme le font des forks de Firefox comme LibreWolf qui basiquement, est un Firefox avec Arkenfox sortie de la boite.
Je ne vais pas énumérer une liste de toutes les modifications faites ou annulés, par ailleurs, Chromium est un moteur robuste avec des atténuations d’exploitations décentes, ceci a nécessité une refonte totale de l’architecture de Chromium par des années de travail et de recherche pour arriver à sa maturité actuelle, il faut savoir où tu veux aller quand tu parles de modifications significatives.
Vanadium de GrapheneOS permet d’autres atténuations, y compris celles développé en amont mais pas encore fonctionnelles en raison de la taille du code. Edge est le seule navigateur Chromium pour bureau qui permet de désactiver JIT où ACG, CIG, CFG et CET sont désativés dans le moteur de rendu, ceci a pour effet de réduire grandement la surface d’attaque que répresente Javascript sans casser la plupart des sites (l’activer pour tous les sites facilite la prise de ton empreinte numérique pour le suivi en contre-partie) ce n’est pas de la bidouille superficielle, il n’est pas juste d’affirmer que les dévellopeurs sur Chromium ne font que du superficielle, ceci dépends grandement du navigateur Chromium.
#39.1
Évidement que tous les navigateurs chromium sont des forks, mais ça sert à rien de jouer avec les mots.
Microsoft contribue directement dans Chromium donc c’est un peu différent, et leur fork finalement n’a pas tant de chose sous le capot en dehors de la base chromium.
Un peu de lecture :
https://vivaldi.com/blog/manifest-v3-webrequest-and-ad-blockers/
Ils disent pas que c’est impossible, ils disent quand même que c’est extrêmement plus couteux. je dis pas quelque chose d’autre. Mais faire un simple fork de chromium et implémenter ce genre de fonctionnalité ça n’a rien à voir.
On verra ce que dira l’avenir, mais très peu probable que les chromium-like aient des bloqueurs de pubs aussi efficaces que sur Firefox.
#40
J’ai déjà écrit ce que je pense de Manifest V3, pour moi c’est une évolution positive et son but n’est pas de casser le blocage des publicités, je ne sais plus quel membre a posté la vidéo de Sun Knudsen sur ce fil sur les problèmes des adblockers, mais Manifest V2 autorise trop de privilèges élevés, ce n’est pas préocuppant jusqu’à ce que tu comprennes ce que cela implique et les risques qu’il peut y avoir, pleins d’utilisateurs utilisent des extensions malvaillentes tous les jours qui peuvent aller jusqu’à voler des données dans le système d’exploitation, la maintenance dans ses conditions est difficile.
Je ne suis pas d’accord avec des affirmations par Mozilla et l’EFF à ce sujet, mais je respecte néanmoins l’EFF et Firefox est l’un des navigateurs que je continue d’utiliser.
#41
Firefox sera en v3, ils garderont juste certaines api qui permettent justement les fonctionnalités poussées dont on besoin les adblock.
Ya pas que du négatif dans la v3 oui, et ça se justifie complètement par la sécurité ok. Ils auraient pu dans ce cas mettre une whitelist pour ceux utilisant cette fonctionnalité, et la bloquer à toute les autres extensions. Yavait plein d’autres solutions, mais c’est là qu’on comprend que le métier de google c’est pas de te protéger des trackers/pubs.
Et comme le dit cet article, la sécurité ça passe aussi par bloquer les scripts de pubs/trackers qui peuvent contenir des malwares exploitant les failles des navigateurs. Même si c’est pas une protection absolue, c’est un vecteur important.
Le problème de virer ça du cœur de Chromium, c’est que ça va rendre beaucoup beaucoup plus coûteux le dev d’un bloqueur de pub, car il faudra prévoir les maj de chromium qui pourront casser la compatibilité régulièrement etc. contrairement à une api standard maintenue par google.
#42
#43
On rappellera utilement que le vrai problème de ManifestV3 n’est que l’imposition totalement arbitraire (car il n’y avait pas lieu d’en mettre une, en soi) d’une limitation au nombre de requêtes que les extensions pouvaient demander. C’est cette limite qui casse les bloqueurs de pubs (ou les rendent moins efficaces), et le fait de maintenir cette limite alors qu’ils auraient pu ne pas la mettre est bien la preuve que ce sont ces bloqueurs la cible réelle de Google (qui est une régie publicitaire avant tout, ils ont donc tout intérêt à ne pas permettre de les priver de leur gagne-pain).
Mais vu que la fin de ManifestV2 a encore été repoussée d’un an (jusqu’en 2024, donc), on a donc toujours un sursis.
#44
Souvent, c’est en rapport avec des options qu’on peut désactiver, ce genre de demande. Mais bon, c’est comme toujours : si c’est gratuit pour l’utilisateur mais que ça vient d’une entreprise, qui paie et quoi exactement ?
#45
“C’est pas parce qu’un logiciel est conçu par un Russe que c’est forcément le mal absolu” Tout à fait !! Je suis in love de Telegram depuis maintenant plusieurs années (faut dire aussi qu’à l’époque WhatsApp était trop con pour interdire l’installation sur tablettes notamment l’iPad de mes parents… Super pour s’appeler…) . Et puis j’ai bien aimé le gros doigt d’honneur de Pavel Durov à Poutine en 2015 quand le gouvernement russe a exigé les clés de chiffrement / déchiffrement. Il y a quand même des russes (très peu) qui osent s’opposer au système…
#46
Je trouve ça dommage de dévaloriser le travail fait par les devs de Vivaldi avec des propos aussi rabaissant. Quand le projet a été lancé, je pense qu’ils étaient bien conscients de l’ampleur du travail pour faire un navigateur orienté vie privée basé sur un produit développé par une firme qui est tout sauf en la faveur de cette dernière. Et vu les billets approfondis de leur blog, leur connaissance de Chromium ne me semble plus à démontrer.
Affirmer qu’ils n’ont pas la capacité à le faire sans apporter d’éléments factuels (ressources de l’entreprise, compétences, etc), je trouve que c’est à la limite du FUD.
Si le monde du logiciel est capable de produire douze millions de distributions Linux, pourquoi une entreprise ne serait-elle pas en capacité de maintenir un produit basé sur le fork synchronisé d’un autre ?
#46.1
Parce que le développement d’un navigateur web coûte entre 500 millions et 1 milliard de $ par an. Ça n’est pas pour dévaloriser le travail de Vivaldi, c’est juste qu’ils ne peuvent pas tout faire. Un changement dans chromium sans passer par les api ça implique un coût non négligeable dont je doute qu’ils aient la capacité d’encaisser. Mais on verra, c’est pas impossible non plus si ils se concentrent uniquement là dessus.
#46.2
Ce coût de développement vient d’où ?
Il y a un juste milieu entre maintenir l’entièreté du produit et un fork avec de la customisation. Vivaldi est dans le second cas : fork synchronisé de Chromium qui modifie et retire ce qui ne va pas dans leur sens, et développement par dessus d’une UI propre et de services liés (comme Sync).
C’est un exercice compliqué (cf l’article du développeur qui explique comment maintenir un fork, et le cas concret des traductions qui est une plaie), mais c’est ce qu’ils font depuis 2015.
Perso je n’ai pas la connaissance pour évaluer leur capacité à s’adapter par rapport à ces changements. Mais ce que je constate, c’est que jusqu’à maintenant, ils ont réussi à fournir un produit extrêmement complet, intégrant de nombreuses fonctionnalités, le tout en ayant réussi à supprimer la quasi totalité des appels que la base fais vers Google (en gros le seul truc qui reste est la SafeBrowse API, désactivable par l’utilisateur). Donc je ne vois pas pourquoi il faudrait considérer par défaut qu’ils n’arriveront pas à s’adapter une nouvelle fois.
#47
Le coût de dev de Firefox est d’environ ~200-300 millions de $/an
#47.1
Je ne comprends plus rien, un coup c’est entre 500 millions et 1 milliard par an et maintenant entre 200-300 millions ?
#47.2
Le projet chromium est bien plus gros, sans compter le dev de la surcouche (Chrome, Edge etc.). C’est une estimation car il est très difficile d’évaluer le coût de chromium tant le projet est énorme et tentaculaire.
Mais c’est pour donner un ordre de grandeur.
Vivaldi Technologies emploie environ ~50 employés pour donner un ordre d’idée.
C’est pour ça que je suis sceptique.
#47.3
Là où on ne se comprend pas, c’est que tu parles comme si Vivaldi devait maintenir l’entièreté de la codebase de Chromium alors que ce qu’ils font, c’est fork, synchroniser, et modifier quelques éléments (au niveau de la base).
Il y a un juste milieu entre ou tout ou rien, c’est là où je veux en venir.
#47.4
Nous sommes d’accord, sauf que pour moi Vivaldi ne maintiens quasiment rien comme modifications “sous le capot”. Ils utilisent les API pour restreindre les trackers nativement aujourd’hui par exemple. Et couper les call à Google c’est “facile” en comparaison.
Là on parle de vraies modifications sous le capot. Ça me parait bien plus compliqué et plus critique. La charge des tests de sécurité, de perf etc. leur revient, ce qui n’était pas le cas avant.
Oui c’est possible, mais je doute de leur capacité à le faire. Sinon on est d’accord, on parle le même langage.
#48
J’ai une certaine méfiance avec Adguard.
#49
On verra effectivement comment ça se passe à terme, mais même si je me rappelle pas qu’ils aient promis quoi que ce soit, ils auront au moins eu le mérite d’essayer.
En tout cas, d’après ce que j’ai compris, étant natif et pas une extension, leur bloqueur de pubs ne devrait pas (bah oui : jusqu’à la fin de ManifestV2, on va rester au conditionnel, faute de savoir s’ils ont déjà fait des tests en interne) être gêné. Et comme il est pleinement compatible avec les listes uBO/ADB+, il suffirait de rajouter les listes uBO auxquelles on a souscrit + importer la liste des filtres persos et le blocage par Vivaldi sera aussi efficace qu’avec uBO (il y aurait juste le masquage des éléments esthétiques, la résolution CNAME et les filtres dynamiques qui manqueraient, comme ceux que j’utilise pour bloquer le chargement des Google Fonts depuis le site de Google ; en plus, ça a été déclaré illégal en Europe puisqu’en infraction avec le RGPD depuis peu, ça).
#50
Un AdBlock, c’est bien aussi pour réarranger la page, virer les blocs noirs.
Et tout ce qui nous tue pas nous rend plus fort.
Si un jour ça doit disparaître, ce n’est pas le choix qui manque.
Et je peux rajouter que si on a un routeur avec un firmware custom (OpenWRT, AsusWRT-Merlin…), on peut aussi ajouter ces listes.
#51
#51.1
On dirait une pub pour Brave. Sauf que Brave n’est pas fiable, ils injectent de la merde dans les pages.
https://www.theverge.com/2020/6/8/21283769/brave-browser-affiliate-links-crypto-privacy-ceo-apology
#52
L’application est open source.
#53
#53.1
Mozilla n’a jamais fait de saloperie pareille, encore moins dans le dos des utilisateurs, en 20 ans d’existence… Brave existe depuis 5 ans et fait de la merde depuis le début.
Sinon : https://nakedsecurity.sophos.com/2019/02/12/privacy-browser-braves-user-concern-over-facebook-whitelist/
Ils whitelist des domaines twitter/facebook malgré le bloqueur de tracker/pubs car ils sont incapables d’assurer la compatibilité avec les sites web. Encore une preuve d’incompétence et de publicité mensongère.
Sinon le tracking de Brave lui même : https://spyware.neocities.org/articles/brave.html
Bref c’est du privacy-washing. Il n’y a aucune confiance à accorder à Brave. C’est une entreprise derrière, pas une fondation réputé, reconnue. Aucune communauté. Leur logiciel n’est pas véritablement open-source.
Et il y avait leur délire crypto.
Brave à jeter.
Mais vas y, donne moi des saloperies équivalentes sur Firefox, même de 2020.
#53.2
Ah et ils participent au bullshit du web3 (toujours plus ou moins lié à la blockchain/crypto) où ils vendent des domaines non censurables hébergés dans la blockchain (vendu ultra cher bien entendu). Un nom de domaine dans la blockchain ? C’est juste une arnaque pour les pigeons qui comprennent rien à la technologie, comme les NFT.
Voilà ce que fait brave, et ça date de 2021 : https://www.clubic.com/antivirus-securite-informatique/cryptage-cryptographie/crypto-monnaie/actualite-372385-brave-integre-les-domaines-unstoppable-en-crypto-elargissant-ainsi-l-acces-au-web-3-0.html
#54
Quand tu auras de vrai sources à jour n’hésites pas hein … neocities
Après ça va m’expliquer les dangers de IPFS ou d’un domaine unstoppable ? J’attend la démo.
#54.1
clubic et theverge ça ne te suffis pas ?
Sinon le PDG Brendan Eich a été viré de Mozilla car c’est un homophobe. C’est également un complotiste antivax https://www.nytimes.com/2020/12/22/business/brave-brendan-eich-covid-19.html
Certes, être un abruti antivax n’influe pas forcément sur la qualité du logiciel dont il a la charge. Mais il est intéressant de voir que celui qui a lancé le projet n’a aucun esprit critique et une morale douteuse. Sans oublier qu’il a arnaqué les utilisateurs de Brave au moins une fois, et qu’il vend des conneries de crypto.
Toujours en confiance ?
#55
Elles sont en bas de la page, et il y en a une dizaine (dont pas mal de liens pointant vers le site de Brave¹ lui-même ou son dépôt GitHub). Mais bon, vu que t’es clairement même pas allé voir…
¹ Qui ne mérite aucunement son nom.
#56
Une dernière question, tu demandes systématiquement à ta crémière, ton pharmacien, ton boulanger ou chez le primeur s’ils sont homophobes et/ou racistes, de telle religion ou athées ? Je crois pas.
#56.1
tu retournerais chez ta crémière si elle t’avais vendu de la crème avec du sperme dedans ?
Pourtant tu fais confiance à Brave qui détourne tes liens comme un malware. Ah mais si ils se sont fait cramé il y a deux ans c’est pas grave, ya prescription c’est ça ?
Les gens sont d’une naïveté, à ce niveau ça frôle l’art.
Et perso oui, si mon pharmacien est homophobe et que je le sais, j’irai plus chez lui. Mais bon chacun ses principes, je sais que certains n’en ont aucun.
Sinon c’est quoi l’intérêt de Brave par rapport à Vivaldi qui est un chromium avec une équipe qui a fait ses preuves ? Ou de Firefox tout simplement ?
Parce que niveau privacy Firefox ya pas mieux. C’est quoi l’intérêt d’utiliser Brave du coup ? Se sentir subversif tout en se faisant pomper ses données ?
#57
#57.1
T’as besoin d’une analyse pour savoir qu’un nom de domaine dans la blockchain c’est complètement con, que ça n’empêche pas du tout la censure, et que c’est un truc de pigeon, comme tous les NFT ?
J’ai jamais dit que le budget de Firefox était de 1 milliard, j’ai donné la fourchette du coût de Chrome.
Du coup pourquoi tu utilises Brave ? Parce que tu as entendu dire que c’était un bon navigateur ?
#57.2
Tiens un peu de lecture pour les unstopables domains car j’imagine que tu n’as pas les compétences techniques :
https://www.reddit.com/r/CryptoReality/comments/nqq220/unstoppable_domains_the_latest_crypto_scheme_can/
#58
On est d’accord que l’entreprise Brave est particulière, mais Firefox n’est pas blanc comme neige non plus (accord Google par exemple). Du coup si l’on se concentre sur leurs browsers :
#58.1
Les accords Google ? Tu parles du marché pour mettre en avant Google qui est totalement transparent ?
Il y a bien une protection du fingerprint sur firefox. Je ne sais pas si celle de Brave est meilleure. Après le test est bof, mettre Tor Browser dedans déjà, et comparer des choses qui n’ont rien à voir entre elles…
Par exemple la catégorie “Tracker content blocking” c’est bullshit. Comparer le bloqueur minimum de Firefox à un bloqueur complet activé par défaut de Brave, c’est de la mauvaise foi. Comparer le tracking de Tor browser n’a aucun sens étant donné le fonctionnement de la navigation sur Tor…
Et le test ne prend pas en compte le mode strict de Firefox qui bloque bien plus de choses que brave, par exemple tous ce qui est contenu dans Fingerprinting resistance tests
Bref je ferais pas confiance à ce test perso.
#59
#59.1
Vivaldi est le successeur logique d’Opera pourtant.
#60
Le préfère le second comme source que le premier car c’est un site fait par un employé de Brave (cf “about”). Même s’il dit être sans affiliation marketing et que la méthode est vérifiable dans les sources et qu’on peut lancer soit-même, personnellement je préfère un acteur neutre dans l’histoire.
#61
Ca dépend de quelle version d’Opera. Vivaldi s’adresse aux personnes qui ont connu l’ère Védouze et avant avec Presto. L’Opera basé Chromium qui lui a succédé n’était que le reflet de l’ombre de son ombre.
#62
Merci de le relever, j’avais la flemme de chercher mais la façon dont sont présentés les résultats je voyais que c’était biaisé.
Justement, il me semble que Vivaldi c’est les anciens de Opera, et ça s’adresse en particulier aux fans de la védouze.
#62.1
Oui, Vivaldi a été fondé par l’un des créateurs d’Opera.
#63
Sur fixe j’ai viré les bloqueurs de pub tiers, la protection renforcée de Firefox fait parfaitement le boulot toute seule (d’ailleurs pourquoi l’article n’en parle pas ?).
Les ads-blockers c’est aussi pas mal de ressource CPU (pour analyser les pages), ou alors l’utilisation d’un DNS menteur qui peut loguer toute ton activité Web !
Côté android, j’utilise AdAway, qui est fait par un Frenchy (PerfectSlayer qui traine/trainait ici je crois) : c’est simple et sans tracking. Un fichier host pour rediriger les domaines de pub en local, et un serveur web local pour répondre proprement (càd spoofant le certifcat) en HTTPS : rien ne sort du tel, et le blocage (root) s’applique sur tout le tel, y compris youtube, les pubs dans les apps…
#64
La protection renforcée ne bloque pas les pubs et tous les trackers. Et côté utilisation du CPU ça se débat, ce que tu perds en CPU pour ublock tu le gagnes largement à pas executer les scripts de trackers/pubs, donc je pense que c’est gagnant.
#65
Je n’ai pas l’impression de voir de la pub, mais je n’avais pas fait attention, j’ai également Privacy Badger également inclus (ou proposé par défaut ?) avec Firefox : c’est une extension.
Si je vais disons sur rtl.fr : J’ai 15 trackers bloqués par “firefox protection renforcée” et 16 par Privacy badger (mais y’a des doublons j’ai l’impression).
Visuellement je ne vois aucune pub, il y’a quelques encarts publicité qui sont vides.
Sur 20minutes.fr : c’est 16 et 18 trackers bloqués par firefox / Privacy Badger, là aussi, je ne vois pas de pub en dehors de certains publi-articles un peu douteux :)
Pour l’utilisation CPU, c’est un des points qui m’a fait désinstaller µ-block : sur mon vieux quad core de 2009, j’avais quasi 1sec de blanc à chaque chargement de site : le temps que l’ext parse la page à la recherche de la trop longue liste d’exclusions. Avec ces blocages niveaux URL c’est moins fin (il reste les encarts de pubs vides, ou des publi reportage), mais nettement moins lourd à traiter. Sans aucun blocage je pense que la conso CPU serait effectivement pire.