Le navigateur Firefox n'est pas aussi confidentiel que vous le pensez - surtout sur iOS et Android. Mozilla a récemment annoncé qu'ils allaient permettre à tout utilisateur de Firefox de demander à Mozilla de supprimer les données télémétriques stockées liées à un utilisateur. Mozilla maintient des "limites strictes" sur la durée de stockage de ces données de télémétrie, mais toute durée est trop longue si les données de télémétrie peuvent être associées à une instance individuelle du navigateur Firefox sur une adresse IP particulière en réponse à une demande du gouvernement. Bien sûr, la collecte de ces données télémétriques peut être désactivée, mais la grande majorité des utilisateurs de Firefox n'utilisent pas Firefox avec la télémétrie désactivée, et sont donc incroyablement vulnérables.
Le changement effectué par Mozilla est le résultat de la loi californienne sur la protection de la vie privée des consommateurs (CCPA), une loi d'État qui est entrée en vigueur au début de la nouvelle année. 2020 est une année de clairvoyance, et nous commençons avec la révélation que Firefox stocke des données de télémétrie d'une manière qui peut être retracée jusqu'à un utilisateur en particulier. Après tout, comment Mozilla pourrait-il supprimer uniquement vos données de télémétrie sur demande ? Pour répondre à cette question, Privacy Online News a contacté Mozilla et un porte-parole de Mozilla a expliqué comment les données de télémétrie sont associées à l'instance de votre navigateur :
"Par défaut, Mozilla collecte des données restreintes à partir de Firefox pour nous aider à comprendre comment les gens utilisent le navigateur, comme des informations sur le nombre d'onglets et de fenêtres ouvertes ou le nombre de pages web visitées. Cela n'inclut pas les données qui peuvent révéler des informations sensibles sur l'activité des utilisateurs en ligne, comme les requêtes de recherche ou les sites web visités par les utilisateurs.
Les données collectées sont associées à un identifiant généré de manière aléatoire et unique pour chaque client Firefox. Nous appelons cela un clientID. Ce numéro de client n'est pas lié à vous personnellement ou à des données sensibles (par exemple votre nom ou votre numéro de téléphone), mais lié à votre installation locale du logiciel Firefox. Il n'est jamais partagé avec des tiers. La documentation publique complète sur cette collecte de données, y compris l'identifiant, peut être consultée ici.
Lorsque les utilisateurs choisissent de supprimer leur télémétrie, le navigateur Firefox soumettra cet identifiant à Mozilla et nous supprimerons alors les données sur nos serveurs associées à cet identifiant".
Les données collectées sont associées à un identifiant généré de manière aléatoire et unique pour chaque client Firefox. Nous appelons cela un clientID. Ce numéro de client n'est pas lié à vous personnellement ou à des données sensibles (par exemple votre nom ou votre numéro de téléphone), mais lié à votre installation locale du logiciel Firefox. Il n'est jamais partagé avec des tiers. La documentation publique complète sur cette collecte de données, y compris l'identifiant, peut être consultée ici.
Lorsque les utilisateurs choisissent de supprimer leur télémétrie, le navigateur Firefox soumettra cet identifiant à Mozilla et nous supprimerons alors les données sur nos serveurs associées à cet identifiant".
Plus précisément, lorsque vous demandez que vos données télémétriques soient supprimées des serveurs de Mozilla, vous le faites en envoyant un ping de "demande de suppression" qui, en raison du fonctionnement des pings sur Internet, comprend un horodatage, votre adresse IP et votre identifiant client unique - comme le confirme Mozilla. Ce sont toutes les informations nécessaires pour relier vos données télémétriques à votre navigateur.
Mozilla a confirmé à Privacy Online News que toutes ces données sont stockées, mais ils ne semblent pas considérer qu'il s'agit d'une question de vie privée car elles sont stockées séparément. Un porte-parole de Mozilla a expliqué comment l'adresse IP de tous les pings de télémétrie, et pas seulement le ping de demande de suppression, est stockée :
"Mozilla reçoit initialement l'adresse IP dans le cadre des données techniques de télémétrie. L'adresse IP est ensuite retirée de l'ensemble des données de télémétrie et déplacée vers un environnement à accès restreint, uniquement à des fins de sécurité et d'examen des erreurs. En déplaçant l'adresse IP dans cet environnement restreint, cela permet de désidentifier les données télémétriques collectées".
Firefox stocke vos données de télémétrie de manière à pouvoir les relier à vous
Si le fait que Firefox collecte des données de télémétrie peut être bien connu de certains chercheurs soucieux de la sécurité, et même considéré comme acceptable pour des raisons telles que le "débogage", il est tout à fait révélateur que Mozilla conserve en fait ces données d'une manière qui puisse correspondre à l'adresse IP d'un utilisateur individuel qui demande la suppression desdites données.
Mozilla a même essayé de minimiser l'impact de sa décision sur la vie privée, en expliquant dans son annonce :
"Jusqu'à présent, l'industrie n'a généralement pas considéré les données de télémétrie comme des "données personnelles" car elles ne sont pas identifiables à une personne spécifique, mais nous sommes convaincus que cette mesure est la bonne pour les personnes et l'écosystème".
Que comprennent les données de télémétrie de Firefox ?
Selon le wiki Mozilla, les données de télémétrie comprennent toutes les informations nécessaires pour répondre aux questions suivantes :
- Combien de temps faut-il à Firefox pour démarrer ?
- Combien de temps faut-il à Firefox pour charger une page web ?
- Combien de mémoire Firefox consomme-t-il ?
- Quelle est la fréquence de fonctionnement du collecteur de cycles et du garbage collector de Firefox ?
- Votre session a-t-elle été restaurée avec succès lors du dernier lancement de Firefox ?
En lisant ces questions, on se rend compte des données techniques que Firefox doit stocker pour pouvoir répondre à ces questions. Restez à l'écoute des prochains articles de Privacy Online News qui plongeront dans la base de code de Firefox pour présenter ce qui constitue les données de télémétrie stockées par Mozilla en association avec votre instance de navigateur Firefox. Pour un aperçu, il suffit de taper about:telemetry dans votre navigateur Firefox. Pour les versions Android et iOS de Firefox, une partie de ces données de télémétrie - et plus encore - est également partagée avec une société tierce appelée Leanplum.
Qu'est-ce que Leanplum et pourquoi est-il présent sur Firefox pour iOS et Android ?
Firefox sur les systèmes d'exploitation mobiles populaires iOS et Android pose des problèmes de confidentialité encore plus importants que les données de télémétrie stockées par Mozilla. Leanplum est une société de publicité mobile qui reçoit également vos informations personnelles, grâce à Mozilla. Selon le site web de support de Mozilla Firefox :
"Par défaut, Firefox envoie des données sur les fonctionnalités que vous utilisez dans Firefox à Leanplum, notre fournisseur de marketing mobile, qui a sa propre politique de confidentialité. Ces données nous permettent de tester différentes fonctionnalités et expériences, ainsi que de fournir des messages personnalisés et des recommandations pour améliorer votre expérience avec Firefox".
Mozilla envoie des informations à Leanplum sous le prétexte de tester différentes fonctionnalités. De plus amples informations, également fournies par l'équipe de soutien de Mozilla, sont disponibles dans les détails :
"Leanplum suit les événements tels que le chargement des signets par l'utilisateur, l'ouverture d'un nouvel onglet, l'ouverture de pocket, l'effacement de données, l'enregistrement d'un mot de passe et d'un login, la prise d'une capture d'écran, le téléchargement de médias, l'interaction avec l'URL de recherche ou la connexion à un compte Firefox".
L'histoire d'horreur continue :
"Leanplum reçoit des données telles que le pays, le fuseau horaire, la langue/localité, le système d'exploitation et la version de l'application".
Des informations plus spécifiques sur ce que Leanplum collecte à partir de votre navigateur Firefox mobile peuvent être trouvées dans la politique de confidentialité de Leanplum, à laquelle Mozilla se réfère dans son propre texte de support, peut-être parce qu'elle est tellement odieuse :
" [...] nous recueillons automatiquement certaines informations, qui peuvent inclure l'adresse IP (Internet Protocol) de votre navigateur, votre type de navigateur, la nature de l'appareil à partir duquel vous visitez le Service (par exemple, un ordinateur personnel ou un appareil mobile), l'identifiant de tout appareil portable ou mobile que vous utilisez, le site Web que vous avez visité immédiatement avant d'accéder à un Service sur le Web, les actions que vous effectuez sur notre Service, et le contenu, les caractéristiques et les activités auxquelles vous accédez et participez sur notre Service. Nous pouvons également recueillir des informations concernant votre interaction avec les messages électroniques, par exemple si vous avez ouvert, cliqué ou transféré un message".
L'ouverture d'une option de confidentialité permettant à tous les utilisateurs (et pas seulement aux Californiens) de supprimer des données de télémétrie révèle une vérité plus profonde et plus sombre : le navigateur populaire garde en fait la trace des données de télémétrie d'une manière qui permet de les relier à votre instance de navigateur spécifique et à votre adresse IP. De telles révélations sont exactement ce qui devrait se produire une fois que des lois appropriées sur la protection de la vie privée auront été écrites, adoptées et promulguées. Rien qu'avec cette révélation, on peut dire que la loi CCPA a déjà fait bien plus que le RGPD pour la protection de la vie privée sur Internet. Firefox n'est pas le navigateur respectueux de la vie privée pour lequel il se fait passer. Pas sur le PC de bureau, et certainement pas sur mobile.
source :
https://www.privateinternetaccess.com/blog/the-firefox-browser-is-a-privacy-nightmare-on-desktop-and-mobile/