Pistage : les navigateurs ne s’attaquent pas qu’aux cookies

Dans la lignée de Brave, Firefox met en place un mécanisme de filtrage de certains paramètres d’URL utilisés à des fins de pistage.

Faire en sorte que la liste de téléchargements ne s’ouvre plus à chaque fois qu’on en lance un ? L’option vient d’arriver sur le canal stable de Firefox, avec la version 102.

Autre fonctionnalité à faire son apparition : un filtre contre la « décoration de liens ». Cette pratique de pistage repose sur l’ajout de paramètres dans les liens sortants. Par un jeu de scripts, le site de destination peut stocker le contenu de ces paramètres dans un cookie first-party auquel le site d’origine peut accéder.

Sur Firefox, la liste noire initiale contient huit de ces paramètres :

__s (Drip)
fbclid= et mc_eid= (Facebook)
_hsenc= (HubSpot)
mkt_tok= (Marketo)
oly_enc_id= et oly_anon_id= (Olytics)
vero_id= (Vero)

Le filtrage n’est actif que si on utilise la protection avancée contre le pistage au niveau le plus strict. Pour un fonctionnement également en mode privé, il y a une option (privacy.query.stripping.enabled.pbmode) à activer sur la page about:config.

Firefox rejoint Brave

Brave dispose d’une telle liste noire depuis 2019. Elle englobe des paramètres qui permettent de cibler un utilisateur, une adresse mail ou un clic individuel.

trackers

Le mécanisme pose parfois des problèmes dans la pratique. Il a par exemple des problèmes lorsque des services workers sont impliqués dans le traitement des requêtes. Il n’est par ailleurs pas évident de faire la part des choses avec certains usages, tels les sites qui n’utilisent de paramètres qu’à des fins de mesure de leur propre audience.

Firefox dispose déjà d'une galaxie d'extensions qui appliquent un filtrage d'URL. Mais elles sont, de manière générale, plus « spécialisées ». Certaines agissent toutefois sur des paramètres que le navigateur ne prend pas encore en compte, comme utm_*. D'autres fournissent des fonctionnalités supplémentaires, comme le contournement des raccourcisseurs d'URL.

Du côté de Safari, on n'agit pas sur les paramètres, mais on limite la durée de conservation des cookies que déposent les sites utilisant la redirection de liens.

Illustration principale © Johnath - VisualHunt / CC BY-SA