Le navigateur Tor et Mozilla Firefox en symbiose

Par Mozinet, . Lien permanent Firefox

onion heartTel un calendrier de l’Avent qui n’en porte pas le nom, le projet Tor a au cours du mois de décembre publié une série de billets Tor at the Heart qui met en exergue des organisations et des projets « qui dépendent de Tor, sont développés par dessus Tor ou accomplissent mieux leurs missions grâce à l’existence de Tor ». Fin décembre, ce sont Ethan Tseng et Richard Barnes de Mozilla qui ont explicité la collaboration étroite entre les équipes de développement du Navigateur Tor et celles de Firefox. La communauté Mozilla francophone a traduit ce billet pour vous :

Firefox <3 le Navigateur Tor

par Ethan Tseng et Richard Barnes

Tor BrowserSi vous avez utilisé Tor, vous avez probablement utilisé le Navigateur Tor[1], et donc Firefox. En terme de lignes de code, le Navigateur Tor est en grande partie Firefox : il y a quelques modifications et ajouts, mais environ 95 % du code du Navigateur Tor provient de Firefox. Les équipes de Firefox et du projet Tor collaborent depuis un certain temps déjà, mais en 2016 nous avons commencé à passer à l’étape suivante, rapprochant plus que jamais Firefox et le Navigateur Tor. Avec une collaboration plus étroite, nous avons permis aux développeurs du Navigateur Tor de faire leur travail encore plus facilement, et en offrant plus d’options aux utilisateurs de Firefox pour prendre soin de leur vie privée, tout en rendant les deux navigateurs plus sûrs.

L’équipe du Navigateur Tor le développe en utilisant les versions ESR[2] de Firefox et en appliquant des patchs sur celles-ci. Grâce à ces modifications, les usagers du Navigateur Tor profitent de précieuses fonctionnalités de protection de la vie privée. Cependant, ces changements signifient aussi que chaque fois que cette équipe souhaite utiliser une nouvelle version de Firefox, elle doit mettre à jour ces patchs afin qu’ils fonctionnent sur cette nouvelle version. Ces mises à jour représentent une part substantielle des efforts de développement du Navigateur Tor.

En 2016, nous avons commencé à intégrer, dans Firefox, les modifications apportées au Navigateur Tor. Quand un patch est intégré, nous prenons les changements dont le Navigateur Tor a besoin et les ajoutons à Firefox de telle sorte qu’ils soient désactivés par défaut mais qu’ils puissent être activés via une simple préférence. Cela permet de préserver le travail de développement du navigateur, puisqu’il suffit désormais à son équipe de développement de modifier des préférences plutôt que de mettre à jour le patch. Cela fournit également aux équipes de développement de Firefox un moyen d’expérimenter des fonctionnalités avancées de protection de la vie privée, développées pour le Navigateur Tor, afin de voir s’ils peuvent les proposer à un public bien plus large.

Notre cible principale dans le projet d’intégration a été une fonctionnalité appelée isolation par origine, qui fournit une très forte protection contre le pistage (au risque de casser certains sites). Mozilla a mis sur pied une équipe dédiée à l’intégration de cette fonctionnalité du Navigateur Tor à Firefox, en utilisant la même technologie que nous avons utilisée pour créer la fonctionnalité des contextes. L’équipe a développé aussi des tests complets et un processus de QA[3] afin de s’assurer que cette isolation dans Firefox était aussi solide que celle du Navigateur Tor, et a même identifié quelques pistes pour ajouter des protections encore plus fortes. L’équipe de Mozilla a travaillé en étroite collaboration avec celle du Navigateur Tor, y compris avec des téléconférences hebdomadaires et une rencontre en personne en septembre.

Aperçu du bouton dans la barre principale(Re)lire : Les onglets contextuels dans Firefox Nightly

L’isolation par origine sera incluse dans Firefox 52, qui servira de base à la prochaine version majeure du Navigateur Tor. De ce fait, l’équipe du Navigateur Tor ne sera plus obligée de mettre à jour les patchs d’isolation par origine pour cette version. Dans Firefox, l’isolation par origine est désactivée par défaut (à cause des risques d’incompatibilité), mais les utilisateurs de Firefox pourront choisir d’utiliser l’isolation par origine en allant dans « about:config » et en passant « privacy.firstparty.isolate » à « true ».

Nous sommes impatients de poursuivre cette collaboration en 2017. Le travail d’intégration d’un ensemble de patchs, protégeant de différentes formes de pistage par l’empreinte du navigateur, va bientôt commencer. Nous allons aussi rechercher comment travailler ensemble pour améliorer le bac à sable[4], en nous basant sur le travail de Yawning Angel pour le Navigateur Tor et les fonctionnalités de bac à sable de Firefox qui sont prévues pour être diffusées début 2017.

Enfin, nous devrions reconnaître la valeur de cette collaboration prolongée entre Mozilla et le Tor Project concernant les failles de sécurité. L’importance de cette collaboration a été mise sur le devant de la scène, il y a quelques semaines, lorsque nous avons simultanément été alertés de l’exploitation d’une vulnérabilité zero-day[5] ciblant le Navigateur Tor au travers d’une faille présente dans Firefox. Travaillant ensemble, nous avons été capables de développer, tester et mettre à disposition un correctif pour les deux navigateurs en moins de 24 heures.

La collaboration entre les équipes de Firefox et du Navigateur Tor illustre justement la manière avec laquelle les principes d’ouverture et de participation de Mozilla peuvent aider à faire évoluer la sécurité et la vie privée sur Internet. Nous sommes fiers de tout ce que nous avons accompli ensemble avec le Tor Project en 2016 et sommes impatients de continuer à rendre le Web plus sécurisé et respectueux de la vie privée. ■


Traduction et relecture : Porkepix, Mozinet, Théo, Sphinx, Vincent, Anthony, nicoo et anonymes

Images rajoutées par le traducteur.

Notes du traducteur

[1] : vous trouverez souvent le logiciel appelé par son nom en anglais : Tor Browser.

[2] : les « Extended Support Releases » sont des versions de Firefox destinées aux organisations et entreprises pour lesquelles Mozilla fournit des mises à jour de sécurité et de stabilité sans nouvelles fonctionnalités pendant à peu près un an.

[3] : on désigne par assurance qualité un moyen d’obtenir confiance dans l’assurance de la qualité c’est-à-dire dans l’aptitude de la société ou de l’organisation à satisfaire le niveau de qualité désiré (source).

[4] : dans le domaine de la sécurité des systèmes informatiques, un sandbox (anglicisme signifiant « bac à sable ») est un mécanisme qui permet l’exécution de logiciel(s) avec moins de risques pour le système d’exploitation (source).

[5] : une vulnérabilité Zero day est une vulnérabilité informatique n’ayant fait l’objet d’aucune publication ou n’ayant aucun correctif connu (source).

Haut de page