Les navigateurs Web sont l'outil le plus courant de nos jours. Par conséquent, ils sont la cible la plus populaire pour n'importe quel type de mauvaises personnes : auteurs de logiciels malveillants, pirates et d'autres.
De plus, les entreprises sont également très désireuses d'obtenir les données des utilisateurs. Ils veulent obtenir toutes sortes de données. Et comme les navigateurs Web sont les outils les plus courants, le moyen le plus évident est de coopérer avec les éditeurs de navigateurs pour obtenir des données.
Jusqu'à présent, ce sont des faits qui sont connus de la plupart des personnes concernées par la vie privée. Mais comme personne ne peut éviter d'utiliser un navigateur, la plupart sont prêts à faire un compromis. Mais quel navigateur divulgue le moins de données possible ?
Méthode
La condition était que le navigateur soit un logiciel libre (open source). Bien que certains navigateurs propriétaires fassent du bon travail d'un point de vue purement technique, la plupart des experts en sécurité et en protection de la vie privée s'entendent pour dire que l'utilisation de logiciels libres et gratuits est essentielle à un réseau sécurisé et respectueux de la vie privée.
Le test a été effectué sur Debian 10 sous amd64 avec quelques paquets de MX Linux.
Les navigateurs suivants ont été testés :
Firefox 70.0.1 (Mozilla Binaries from MX Linux)
Firefox ESR 68.2.0 (Debian package)
Chromium 78.0.3904.97 (Debian Package)
Brave Browser 1.0.0 (Package from Brave web site)
Epiphany 3.32.1.2 (Debian package)
Midori 7.0 (Debian package)
La méthode elle-même était relativement simple. J'ai créé un nouvel utilisateur avec un répertoire home vide, donc il n'y avait pas de cache ou de plugins. Chaque navigateur a été démarré sans pré-configuration ni cache.
En même temps, tcpdump était en cours d'exécution. J'ai désactivé IPv6 pour des raisons de simplicité. Je me suis assuré qu'aucun autre programme compatible réseau n'était actif et j'ai fait en sorte que tcpdump écoute l'interface réseau sortante.
J'ai démarré le navigateur, je l'ai laissé ouvert pendant environ 10 secondes sans aucune interaction ou utilisation, puis je l'ai fermé. Après cela, j'ai filtré le trafic http et https à partir des résultats.
Résultats :
Firefox
Firefox est un navigateur web gratuit développé par la Fondation Mozilla. Mozilla fournit deux branches. La branche officielle est mise à jour toutes les 6 semaines (toutes les 4 semaines dans le futur), suivant un "cycle de développement rapide". Après ce laps de temps, le navigateur doit être mis à jour à la version suivante afin de recevoir les mises à jour de sécurité. Seule la version actuelle est supportée.
Pour les organisations et les personnes qui ne veulent pas recevoir les nouvelles fonctionnalités toutes les trois ou quatre semaines, il existe une branche dite ESR, dans laquelle une version donnée est maintenue environ un an. Pendant ce temps, le navigateur reçoit les mises à jour de sécurité. En outre, elle reste inchangée.
La distribution Debian GNU/Linux fournit un paquet pour Firefox ESR uniquement. La distribution MX Linux fournit un paquet pour Firefox actuel, qui n'est pas construit à partir des sources, mais est essentiellement une version re-packagée des binaires fournis par Mozilla.
Firefox 70.0.1
Firefox 70.0.1 a contacté au total 17 hôtes différents
104.16.142.228.https
36.75.98.34.bc.googleusercontent.com.https
93.184.220.29.http
a2-16-106-152.deploy.static.akamaitechnologies.com.http
ec2-34-223-159-30.us-west-2.compute.amazonaws.com.https
ec2-35-166-89-106.us-west-2.compute.amazonaws.com.https
ec2-50-112-59-215.us-west-2.compute.amazonaws.com.https
ec2-52-33-55-70.us-west-2.compute.amazonaws.com.https
ec2-52-35-182-58.us-west-2.compute.amazonaws.com.https
ec2-54-191-170-25.us-west-2.compute.amazonaws.com.https
ec2-54-72-168-141.eu-west-1.compute.amazonaws.com.https
mozilla-org.public.mdc1.mozilla.com.https
server-13-224-196-33.fra2.r.cloudfront.net.https
server-143-204-101-114.fra50.r.cloudfront.net.https
server-143-204-101-115.fra50.r.cloudfront.net.https
server-143-204-101-38.fra50.r.cloudfront.net.https
server-143-204-101-56.fra50.r.cloudfront.net.https
De plus, les requêtes DNS pour les enregistrements A pour les 22 domaines suivants ont été effectuées :
accounts.firefox.com.
classify-client.services.mozilla.com.
content-signature-2.cdn.mozilla.net.
detectportal.firefox.com.
firefox.settings.services.mozilla.com.
incoming.telemetry.mozilla.org.
location.services.mozilla.com.
mozilla.org.
normandy.cdn.mozilla.net.
ocsp.digicert.com.
push.services.mozilla.com.
search.services.mozilla.com.
shavar.services.mozilla.com.
snippets.cdn.mozilla.net.
tiles.services.mozilla.com.
tracking-protection.cdn.mozilla.net.
www.ebay.de.
www.facebook.com.
www.mozilla.org.
www.reddit.com.
www.wikipedia.org.
www.youtube.com.
Firefox ESR 68.2.0
Firefox ESR 68.2.0 contacté au total 13 hôtes différents
104.16.142.228.https
93.184.220.29.http
a2-16-106-209.deploy.static.akamaitechnologies.com.http
a92-122-254-195.deploy.static.akamaitechnologies.com.https
ec2-34-223-159-30.us-west-2.compute.amazonaws.com.https
ec2-34-253-23-107.eu-west-1.compute.amazonaws.com.https
ec2-35-167-176-126.us-west-2.compute.amazonaws.com.https
ec2-52-89-218-39.us-west-2.compute.amazonaws.com.https
mozilla-org.public.mdc1.mozilla.com.https
server-13-224-196-11.fra2.r.cloudfront.net.https
server-13-225-78-51.fra2.r.cloudfront.net.https
server-143-204-101-24.fra50.r.cloudfront.net.https
server-143-204-101-60.fra50.r.cloudfront.net.https
De plus, les requêtes DNS pour les enregistrements A pour les 23 domaines suivants ont été effectuées :
accounts.firefox.com.
content-signature-2.cdn.mozilla.net.
detectportal.firefox.com.
firefox.settings.services.mozilla.com.
getpocket.cdn.mozilla.net.
getpocket.com.
img-getpocket.cdn.mozilla.net.
location.services.mozilla.com.
mozilla.org.
ocsp.digicert.com.
search.services.mozilla.com.
shavar.services.mozilla.com.
snippets.cdn.mozilla.net.
tirol.orf.at.
tracking-protection.cdn.mozilla.net.
www.ebay.de.
www.facebook.com.
www.mozilla.org.
www.reddit.com.
www.welt.de.
www.wikipedia.org.
www.youtube.com.
www.zeit.de.
Chrome 78.0.3904.97
Chromium est un navigateur web gratuit développé par Google. Alors que Chromium est un logiciel libre, de nombreux navigateurs qui sont basés sur Chromium ne le sont pas. Le plus populaire est Chrome, également développé par Google. De plus, les futures versions de Microsoft Edge, le navigateur Web par défaut de Windows 10, seront basées sur Chromium.
Chrome contacté au total 6 hôtes différents
172.217.130.9.https
fra15s24-in-f238.1e100.net.https
fra15s46-in-f3.1e100.net.https
fra16s12-in-f13.1e100.net.https
fra16s13-in-f227.1e100.net.https
fra16s20-in-f4.1e100.net.https
De plus, les requêtes DNS pour les enregistrements A pour les 9 domaines suivants ont été effectuées :
accounts.google.com.
fonts.gstatic.com.
hsdmpfy.
huuqjdqtnjj.
r4---sn-h0jeened.gvt1.com.
redirector.gvt1.com.
vypmecteapc.
www.google.com.
www.gstatic.com.
Brave 1.0.0
Brave est un navigateur web gratuit basé sur Chromium, développé par Brave Software. Brave inclut un bloqueur de publicité et de tracker. Brave se présente comme un navigateur pour les personnes soucieuses de la protection de la vie privée.
Brave contacté au total 3 hôtes différents
104.28.23.242.https
151.101.113.7.https
151.101.114.217.https
De plus, les requêtes DNS pour les enregistrements A pour les 11 domaines suivants ont été effectuées :
aqkslhfmwv.
brave-core-ext.s3.brave.com.
componentupdater.brave.com.
crlsets.brave.com.
go-updater.brave.com.
laptop-updates.brave.com.
mkidosnkaqqulg.
no-thanks.invalid.
static1.brave.com.
static.brave.com.
vgjrddw.
Epiphany / GNOME Web 3.32.1.2
GNOME Web est un navigateur Web gratuit basé sur WebkitGTK. Webkit est un moteur de navigateur développé par Apple et principalement utilisé dans le navigateur Safari propriétaire d'Apple. WebkitGTK est le port GTK de Webkit.
GNOME Web est le navigateur Web par défaut pour l'environnement de bureau GNOME et anciennement connu sous le nom de Epiphany. Le nom du paquet et le nom du binaire sur Debian est toujours "épiphanie".
Epiphanie contacté au total 2 hôtes différents
104.31.91.96.https
fra16s08-in-f202.1e100.net.https
De plus, les requêtes DNS pour les enregistrements A pour les 2 domaines suivants ont été effectuées :
easylist.to.
safebrowsing.googleapis.com.
Midori 7.0
Midori est un navigateur web gratuit basé sur WebkitGTK, comme Epiphany. Midori fait partie du composant "Goodies" de l'environnement de bureau XFCE. Il s'agit d'un navigateur web léger avec des fonctionnalités de base.
Pendant le test, Midori n'a contacté aucun hôte et n'a effectué aucune requête DNS.
Résumé
Firefox : 17 (requêtes http(s)) / 22 (requêtes DNS)
FF ESR : 13 / 23
Chromium : 6 /9
Brave : 3/ 11
Epiphany : 2 / 2
Midori : 0 / 0
Conclusion
D'après les résultats, on peut dire que Midori devrait être le premier choix pour les personnes qui s'inquiètent des fuites de données vers les entreprises. Comme Midori utilise WebkitGTK, il reçoit également les mises à jour de sécurité dans un délai raisonnable. (Le projet WebkitGTK prétend qu'il intègre parfois des correctifs de sécurité avant même Apple).
Cependant, comme la fuite de données intégrée n'est qu'une partie de la vie privée et de la sécurité, il faut aussi tenir compte d'autres aspects. Midori a un support de base pour le blocage des publicités, mais à ma connaissance, il n'y a aucun moyen de bloquer les trackers.
Le chrome est étroitement lié à Google et existe principalement pour des raisons de rentabilité. Par conséquent, on ne peut pas s'attendre à trop de soutien de la part de Google en ce qui concerne le blocage des annonces et des trackers.
Brave semble être un bon choix pour avoir un navigateur soucieux de la vie privée à première vue. Cependant, comme Brave Software veut établir son propre réseau publicitaire et dépend de ce que Google publie en tant qu'open source, il est peut-être préférable de rester sur ses gardes.
Les navigateurs Firefox ont donné les pires résultats en ce qui concerne les fuites de données. Cependant, c'est aussi un navigateur où vous pouvez configurer presque tous les aspects. Des paramètres simples et des extensions de confidentialité à la configuration complexe de user.js tout est presque possible. Mais ne vous y trompez pas : c'est beaucoup de travail que de rendre Firefox silencieux et vraiment respectueux de la vie privée. Le site ghack-user.js est un bon point de départ si vous voulez y voir plus clair.
sauce :
https://write.as/allgoodthings/browsers-and-privacy