Mozilla a annoncé hier une stratégie de défense complémentaire contre les tactiques de pistage avancées. Son activation dans Firefox 79 démarre dès maintenant et sera étendue à tous utilisateurs au cours des prochaines semaines. Selon Mozilla, la tâche principale de ces technologies et techniques de protection renforcées contre le pistage ou Enhanced Tracking Protection 2.0 (ETP 2.0) est de bloquer le pistage par redirection, également connu sous le nom de traçage par rebond ou bounce tracking.

Pour continuer à suivre les utilisateurs de Firefox pendant leur navigation Internet, les traqueurs ont exploité une sorte de faille dans la protection ETP de première génération de Mozilla livrée en juin 2019. L'ETP adopte une approche passive pour les cookies dit « first party », ceux liés au site sur lequel navigue l’utilisateur. Sinon, nombre de ces sites seraient piratés ou les utilisateurs devraient, par exemple, se connecter à chaque fois qu'ils reviennent sur ce site. « Le pistage par redirection des traqueurs a exploité cette faille pour contourner le blocage des cookies de tiers », a expliqué Steven Englehardt, ingénieur de Mozilla spécialisé dans la protection de la vie privée, dans un article publié le 4 août sur le blog de l’entreprise.

Pour ce faire, les traqueurs qui pratiquent le traçage par redirection ou par rebond obligent les utilisateurs à « faire un stop imperceptible et momentané sur leur site web » afin de charger leurs trackers « first party » et permettre à leurs cookies d’être stockés par Firefox (pour une réutilisation ultérieure, comme le sont les cookies de première main). Le tracker de redirection ou de rebond dirige ensuite l'utilisateur vers le site web de destination, sauf que cette fois il est chargé d'identifiants qui le suivent et font leur rapport aux cookies de première main.

Dans le pistage de redirection ou de rebond, le premier site web - un site de test - envoie brièvement le navigateur vers un traqueur de redirection pour marquer son cookie comme étant de première main. Le traqueur de redirection dirige ensuite le navigateur vers la destination demandée par l'utilisateur, ici, un site de vente au détail, et peut poursuivre son pistage. (Crédit : Mozilla)

Pour court-circuiter cette astuce, l'ETP 2.0 de Firefox efface régulièrement du navigateur les cookies et autres données de sites spécifiques stockées par les traqueurs connus. « Ce nettoyage empêche les traqueurs de redirection d’établir un profil à long terme de l’activité de l’utilisateur », a écrit M. Englehardt. Mais d’après une explication technique de la nouvelle défense, la protection ETP 2.0 n'arrête pas complètement le pistage par rebond, car les cookies restent en place entre les nettoyages successifs de l’ETP 2.0. En effet, il se passe au minimum 24 heures entre les nettoyages, et si le navigateur est actif (aussi improbable que cela puisse être) au-delà de 48 heures, le stockage des cookies et autres données du site ne sera effacé uniquement quand le navigateur est inactif.

L'ETP 2.0 est également censé se débarrasser des cookies liés à des services légitimes, même si ces derniers sont servis par des traqueurs (une autre esquive des limiers du web). Mais Firefox laissera des cookies si l'utilisateur a interagi avec le site au cours des 45 derniers jours, même si ces cookies sont utilisés pour effectuer un pistage. « De cette façon, l’utilisateur ne perd pas les avantages des cookies qui lui permettent de se connecter aux sites qu’il fréquente, et il ne s’expose pas à être suivi indéfiniment à partir d'un site qu’il n’a visité qu’une fois », a déclaré Selena Deckelmann, vice-présidente de Firefox desktop, dans un autre article de blog. Firefox 79 a été lancée il y a une semaine par Mozilla. La dernière version est disponible pour Windows, macOS et Linux.