Comment empêcher le suivi HSTS dans Firefox
- Catégorie: Firefox
HTTP Strict Transport Security (HSTS) a été conçu pour aider à sécuriser les sites Web (ceux qui utilisent HTTPS) en déclarant aux navigateurs Web qu'ils doivent communiquer uniquement via HTTPS avec le serveur pour protéger les connexions contre les attaques de rétrogradation et le détournement de cookies.
Mozilla a implémenté la prise en charge de HSTS dans sa forme actuelle dans Firefox en 2014 et depuis, il est actif dans toutes les versions de Firefox.
Ars Technica ont été parmi les premiers à soulever des inquiétudes quant à la mise en œuvre du HSTS dans les navigateurs Web, car il permettait aux exploitants de sites d'implanter des supercookies dans les navigateurs en utilisant la technologie conçue pour améliorer la sécurité des utilisateurs.
À site de démonstration a été créé par Sam Greenhalgh pour démontrer le concept. Lorsque vous visitez le site dans un navigateur prenant en charge HSTS, un identifiant unique vous est attribué qui persiste dans les sessions du navigateur et peut être utilisé pour vous suivre grâce à lui.
Remarque: ce problème ne se limite pas au navigateur Web Firefox car Google Chrome et les autres navigateurs qui ont mis en œuvre la fonctionnalité sont également vulnérables au suivi HSTS.
Comment le HSTS est actuellement géré par Firefox
Firefox enregistre les informations HSTS dans le fichier SiteSecurityServiceState.txt que vous trouvez à la racine de votre dossier de profil Firefox.
Le moyen le plus simple de l'ouvrir est de charger about: support dans la barre d'adresse de Firefox et de cliquer sur le bouton «afficher le dossier» sur la page après son chargement. Cela ouvre le dossier de profil de Firefox dans le navigateur de fichiers système par défaut.
Lorsque vous ouvrez le fichier dans un éditeur de texte brut, vous obtenez une liste des noms de domaine et des valeurs qui leur sont associées, y compris une date d'expiration.
Firefox gère différemment le HSTS en mode de navigation privée et en mode de navigation normale.
- Mode de navigation normal: HSTS persiste à travers les sessions.
- Mode de navigation privée: les informations HSTS sont supprimées après la session.
Notez que les sites peuvent accéder aux informations HSTS créées lors des sessions de navigation normales lorsque vous entrez en mode de navigation privée dans cette session.
Protection contre le suivi HSTS
Contrairement aux cookies, HSTS n'offre aucune approche de liste blanche ou de liste noire. La fonctionnalité est activée par défaut et il ne semble pas y avoir de préférence pour la désactiver.
Même s'il y avait une option pour le faire, cela affecterait la sécurité lors de la navigation sur Internet.
1. N'utilisez que le mode de navigation privée
Puisque Firefox efface les informations HSTS après la fermeture des sessions de navigation privées, c'est actuellement la meilleure option pour empêcher le suivi des supercookies sans compromettre la sécurité.
Pour lancer Firefox en mode de navigation privée, utilisez le raccourci Ctrl-Maj-P, ou appuyez sur la touche Alt et sélectionnez Fichier> Nouvelle fenêtre privée.
2. Effacez les préférences du site en quittant
La deuxième option dont vous disposez est d'effacer les préférences du site chaque fois que vous fermez le navigateur Firefox. Cela supprime toutes les informations HSTS enregistrées dans le fichier SiteSecurityServiceState.txt, mais affecte d'autres préférences spécifiques au site, telles que les autorisations spécifiques au site ou les niveaux de zoom, car elles sont également effacées par l'opération.
Remarque: cela fonctionne également dans Google Chrome. Appuyez sur Ctrl-Maj-Suppr pour ouvrir la boîte de dialogue d'effacement des données de navigation dans le navigateur. Assurez-vous que les `` cookies et autres données de site et de plugin '' sont sélectionnés et cliquez sur Effacer les données de navigation par la suite.
Cela supprimera également les cookies et les préférences du site.
3. Supprimez manuellement les entrées du fichier HSTS
Le fichier HSTS est un document en texte brut, ce qui signifie que vous pouvez facilement manipuler les données qu'il contient à l'aide d'éditeurs de texte.
Assurez-vous que Firefox est fermé avant de le faire car le contenu sera écrasé lorsque Firefox sera arrêté.
La méthode vous donne un contrôle total sur HSTS mais elle nécessite une intervention manuelle régulièrement et peut ne pas convenir à cause de cela.
Une option que vous pouvez avoir est de conserver certains sites dans et de rendre le fichier en lecture seule par la suite pour bloquer les nouvelles entrées.
Vous devrez toujours le modifier manuellement régulièrement car les informations HSTS ont une date d'expiration.
4. Supprimer automatiquement les données du fichier HSTS
Des programmes comme CCleaner prennent en charge le nettoyage des supercookies HSTS, mais vous pouvez également exécuter une commande locale telle que echo ''> /SiteSecurityServiceState.txt sur le fichier régulièrement pour le supprimer. Si vous l'ajoutez à un fichier de commandes et que vous l'exécutez au démarrage ou à l'arrêt du système, vous ne devriez pas avoir à vous soucier de la persistance des informations HSTS entre les sessions.
5. Rendre le fichier HSTS en lecture seule
Cette approche radicale empêche Firefox d'enregistrer des informations dans le fichier HSTS. Bien que cela soit efficace pour empêcher le suivi, cela signifie que le navigateur ne peut pas utiliser HSTS pour améliorer la sécurité.
Pour le rendre en lecture seule sous Windows, cliquez avec le bouton droit sur le fichier et sélectionnez les propriétés dans le menu contextuel. Recherchez la zone en lecture seule sur la page de propriétés et cochez-la. Cliquez ensuite sur OK pour appliquer la modification. (Merci pantalon)