Firefox 79 inclut des protections contre le pistage de redirection

Il y a un peu plus d’un an, nous avons activé la Protection renforcée contre le pistage (ETP) par défaut dans Firefox. Nous l’avons fait, car, nous estimons que le pistage constitue une menace pour la société, la sécurité des utilisateurs et utilisatrices et l’autonomie des individus. Nous avons pris l’engagement de protéger les utilisateurs et utilisatrices contre ces menaces, et ceci par défaut. L’ETP a été notre première étape dans la réalisation de cet engagement, mais le Web offre de nombreuses opportunités cachées que les traqueurs peuvent utiliser pour poursuivre leur collecte de données.

Ce 4 août 2020, Firefox présente la prochaine étape dans la poursuite des efforts destinés à offrir une expérience de navigation sécurisée et privée à nos utilisateurs et utilisatrices grâce à la version 2.0 de la Protection renforcée contre le pistage (ETP) qui bloque une nouvelle technique de pistage avancée appelée pistage par redirection également appelée pistage par rebond. ETP 2.0 supprime les cookies et données de site des sites traqueurs toutes les 24 heures, sauf celles avec lesquelles vous interagissez régulièrement. Nous allons déployer ETP 2.0 chez tous les utilisateurs et utilisatrices de Firefox au cours des prochaines semaines.

Qu’est-ce que le pistage par « redirection » ?

Lorsque nous naviguons sur le Web, nous passons constamment d’un site à l’autre. Nous pouvons rechercher les « meilleures chaussures de course » sur un moteur de recherche, cliquer sur un résultat de recherche pour lire des critiques et enfin cliquer sur un lien pour acheter une paire de chaussures dans un magasin en ligne. Dans le passé, chacun de ces sites web pouvait intégrer des ressources provenant du même traqueur, et le traqueur pouvait utiliser ses cookies pour relier toutes ces visites de page à la même personne. Afin de protéger votre vie privée, ETP 1.0 empêche déjà les traqueurs d’utiliser des cookies lorsqu’ils sont intégrés dans un contexte tiers, mais leur permet toujours d’utiliser des cookies en tant que première partie, car le blocage des cookies de première partie provoque le dysfonctionnement de sites web. Le pistage par redirection en profite pour contourner le blocage des cookies de tiers.

Les traqueurs de redirection fonctionnent en vous obligeant à faire une escale imperceptible et momentanée sur leur site web dans le cadre de ce voyage. Ainsi, au lieu de naviguer directement du site web de comparaison au détaillant, vous finirez par naviguer d’abord vers le traqueur de redirection plutôt que vers le commerçant. Cela signifie que le traqueur est chargé en tant que première partie. Le traqueur de redirection associe les données de pistage aux identifiants qu’il a stockés dans ses cookies de première partie et vous achemine ensuite vers le commerçant.

Review Site > Redirect Tracker > Retail Site

Une explication pas-à-pas du pistage par redirection

Supposons que vous naviguiez sur un site d’avis sur des produits et que vous cliquiez sur un lien pour acheter une paire de chaussures chez un commerçant en ligne. Quelques secondes plus tard, Firefox navigue vers le site du commerçant et la page du produit se charge. Rien ne vous semble ne pas être à sa place, mais dans les coulisses, on vous a traqué grâce au pistage par redirection. Voici comment cela s’est passé :

  • 1ʳᵉ étape : sur le site web d’avis, vous cliquez sur un lien qui semble vous amener à un cybermarchand. L’adresse web (URL) visible quand vous avez survolé le lien appartient au site de commerce.
  • 2ᵉ étape : un traqueur de redirection intégré dans le site d’avis intercepte votre clic et vous envoie vers leur site web à la place. Le traqueur enregistre aussi la destination prévue : l’URL du cybermarchand à laquelle vous pensiez effectivement vous rendre quand vous avez cliqué sur le lien.
  • 3ᵉ étape : quand le traqueur de redirection est chargé en tant que première partie (first party), le traqueur pourra accéder à ses cookies. Il peut associer des informations sur le site web d’où vous venez (et où vous vous rendez) avec des identifiants enregistrés dans ces cookies. Si de nombreux sites web redirigent grâce à ce traqueur, le traqueur peut vous pister efficacement sur le Web.
  • 4ᵉ étape : une fois qu’il a fini de sauvegarder ses données de pistage, il vous redirige automatiquement vers la destination initiale.

Comment Firefox protège contre le pistage par redirection ?

Une fois toutes les 24 heures, ETP 2.0 effacera complètement les cookies et les données de site stockés par les traqueurs connus. Cela empêche les traqueurs par redirection de pouvoir établir un profil à long terme de votre activité.

Lors de votre première visite à un traqueur de redirection, il peut enregistrer un identifiant unique dans ses cookies. Toute redirection vers ce traqueur au cours de la fenêtre de 24 heures sera en mesure d’associer les données de pistage avec ce même cookie d’identification. Cependant, une fois la suppression des cookies effectuée par ETP 2.0, les cookies d’identification seront supprimés de Firefox et vous apparaîtrez comme quelqu’un de nouveau la prochaine fois que vous visiterez le traqueur.

Cette procédure ne s’applique qu’aux traqueurs connus : les cookies en provenance de sites non pistants ne sont pas concernés. Il arrive que les traqueurs fassent plus que simplement traquer. Ils peuvent également offrir des services que vous utilisez, tels qu’un moteur de recherche ou un réseau social. Si Firefox supprimait les cookies de ces services, nous finirions par vous déconnecter de votre messagerie électronique ou de votre réseau social tous les jours. Pour empêcher cela, nous accordons une dérogation de 45 jours à tous les traqueurs avec lesquels vous avez directement interagi. Ainsi, vous pouvez continuer à profiter de leurs sites web. Cela signifie que les sites que vous visitez ou avec lesquels vous interagissez régulièrement continueront de fonctionner comme prévu, tandis que les traqueurs de « redirection » invisibles verront leur stockage effacé régulièrement. Retrouvez une description technique détaillée de nos protections sur MDN.

ETP 2.0 est une mise à niveau de notre suite de protections contre le pistage activées par défaut. Vous pouvez vous attendre à ce que nous continuions à ajouter des protections pour vous assurer que Firefox vous protège quand vous l’utilisez.



Traduction et relecture : Mozinet, Mozilla, Hellosct1, Janus, Théo et anonymes

Comme la version originale, cette traduction est disponible sous la licence CC By-SA 3.0.

Crédit dessins : Mozilla.