Stopper les scripts

Comme il y a deux ans, l’extension NoScript reste le meilleur bloqueur des attaques du Web sur AMO. L’extension a depuis été portée vers le nouveau standard des extensions de Firefox WebExtensions. Elle se nomme désormais NoScript Security Suite.

L’extension comme son nom l’indique bloque les scripts en langage JavaScript, un langage de programmation principalement employé pour rendre les pages web interactives. Elle bloque tous les scripts sauf pour les domaines de confiance mis par l’utilisateur en liste blanche.

NoScript vous protège des attaques XSS ou du détournement de clic, de « Spectre », de « Meltdown » et d’autres failles JavaScript.

L’interface de NoScript est en français.

Panneau du bouton de NoScript

Lors du chargement d’une page, NoScript vous liste tous les scripts intrusifs, mais vous pouvez modifier les paramètres en passant un ou plusieurs sites web dans la liste blanche de l’extension pour ne plus les bloquer. L’extension vient avec une liste de sites populaires fiables.

Un guide complet de l’extension est disponible en anglais : Introduction à NoScript Security suite.

Nous n’avons pas rangé cette extension dans la classe des extensions « pour tous », car nous pensons qu’il faut comprendre la nature des blocages et des capacités de l’extension pour faire face tout en restant protégé au mauvais fonctionnement d’une page. Pareillement, les options offrent des fonctionnalités puissantes, mais qui ont des répercussions sur le fonctionnement des pages parfois difficiles à relier à tel ou tel paramètre.

Chiffrez les données entre site et navigateur

Les pages web sont créées et envoyées à votre navigateur sur le modèle client-serveur en utilisant le protocole HTTP. Sa version sécurisée, le HTTPS ajoute une couche de chiffrement qui permet de s’assurer de l’identité du site web et garantie la confidentialité et l’intégrité des données échangées.

De plus en plus de sites proposent des connexions sécurisées, mais malheureusement n’assurent pas tous le basculement vers cette version de leur site. Il se peut que, si vous saisissez dans la barre d’adresse de votre navigateur une URL en http ou actionnez un ancien marque-page avec l’adresse du site en http, vous ne bénéficiez pas de la sécurité renforcée de https.

Pour pallier ce problème, l‘Electronic Frontier Foundation, une association américaine de défense des libertés en ligne, a développé l’extension HTTPS Everywhere. L’extension a aussi été portée en WebExtensions depuis notre présentation d’il y a deux ans.

L’interface de l’extension est elle aussi en français.

Panneau du bouton de HTTPS Everywhere

HTTPS Everywhere corrige ces problèmes en réécrivant automatiquement toutes les requêtes vers ces sites en HTTPS.

Vous disposez d’un bouton de barre d’outils qui vous permet d’activer/désactiver l’extension, de bloquer toutes les requêtes non chiffrées (utile si vous n’êtes pas sûr·e du réseau actuel) et de personnaliser le comportement de l’extension pour le site en cours. Vous pouvez ainsi désactiver HTTPS Everywhere pour ce site et rédiger une règle de réécriture particulière pour ce site. Le panneau de l’extension affiche aussi toutes les règles stables pour les requêtes vers des sites tiers effectuées par la page en cours.

Vous trouverez un lien dans ce même panneau vers toutes les règles de réécriture vers HTTPS que met en œuvre HTTPS Everywhere. Cette année, l’extension a changé son modèle pour que la gestion de la liste des règles soit indépendante des mises à jour de l’extension. Cela permet d’obtenir plus rapidement les nouvelles règles élaborées par l’équipe de l’EFF.

Pour les options avancées et les canaux de mis à jour, il est fortement recommandé de ne les modifier que si vous savez vraiment ce que vous faites.

Aller plus loin

L’EFF propose aussi l’extension, mise en avant sur AMO, Privacy Badger qui adopte une méthode originale pour apprendre à bloquer les traqueurs invisibles. Découvrez sa fiche en français sur Wikipédia.

Nom
Auteur
Catégorie
Audience
Licence
NoScript Security Suite Giorgio Maone Sécurité et vie privée Utilisateur averti GNU GPL 2.0
HTTPS Everywhere EFF Technologists Sécurité et vie privée Pour tous Multiple (libres)


Comment protégez-vous des intrus ? faites-le-nous savoir !


@hellosct1 et Mozinet
◀️ L’importance de l’accessibilité Les actualités en direct ▶️

Crédit illustrations : dessin des Fox par Rendleflow. Tous droits réservés.