Où s'en va Firefox?

categories:

Mozilla est très critiqué depuis un bon bout de temps et je me demande, comme d'autres, où s'en va Firefox, où va-t-il se perdre, au fil des méandres dans lesquels il s'égare.

Voici trois exemples plus ou moins récents :

  • L'intégration des DRM pour la lecture multimédia sur le web
  • Pocket, un truc superflu et propriétaire
  • La faille très grave due au lecteur PDF.js inclus dans Firefox

Avant de hurler en cœur, «À bas Firefox, j'installe le navigateur privateur de Google», il faut se rappeler que Firefox étant un logiciel libre, il est donc possible de le modifier et qu'il y a déjà des exemples : Iceweasel (Debian), IceCat (GNU), Abrowser (Trisquel), TorBrowser Bundle (projet Tor), et même un navigateur peu recommandable du fait de sa licence, Palemoon.

De plus, vous-mêmes pouvez facilement modifier pas mal de paramètres de Firefox pour désactiver ce qui ne vous convient pas ou ce qui vous scandalise à juste titre.

Il est certainement difficile de distribuer une version de Firefox qui convienne à une majorité de gens et en évitant tout espionnage.

about:config, page de configuration de Firefox

about:config

Pour modifier des paramètres de Firefox qui ne sont pas accessibles dans les «Préférences», ouvrez un nouvel onglet :

  • Tapez les mots suivants dans le champ de l'URL :
    about:config
  • Cochez la case qui vous prévient que cet endroit peut être dangereux (vous pouvez casser votre Firefox)
  • Pour trouver un paramètre, collez ou tapez une chaîne de caractères sans espace à la fin, dans le champ libre en haut de la page.

Intégration de DRM (EME) dans Firefox

Mozilla a décidé de s'adapter aux tenants du copyright à tout crin qui dirigent l'industrie américaine du divertissement (films et musique), de peur que les internautes américains délaissent Firefox qui ne permettrait pas de regarder des contenus multimédias publiés avec DRM sur le web.

Ce qui a aussi scandalisé nombre de gens, c'est que Mozilla fait appel à Adobe pour mettre en place ce machin.

Vous pouvez désactiver cette histoire de DRM très simplement :

  • Dans about:config, trouvez media.eme.enabled
  • Double clic sur la ligne qui s'affiche, ce qui fait passer sa valeur à «False» (Faux)

De Reader à Pocket, superflu et privateur

Mozilla a d'abord introduit «The Reader View» accompagnée d'une «Liste de lectures» («Reading List»).

Reader

Reader n'est pas une mauvaise idée, c'est même agréable. Vous avez affiché une page d'un journal, par exemple, contenant un article complet que vous avez l'intention de lire tranquillement. La page web est pleine de distractions (images, colonne latérale) ou elle est vraiment moche si vous avez l'extension NoScript opérant avec sévérité : il ne reste plus qu'une large page HTML comme au début du web mais qui s'étale sur toute la largeur de certains de nos écrans devenus très larges depuis les années 1990.

Sur de nombreux sites web (même Libre-Fan…), vous voyez dans le champ de l'URL, tout au bout à droite, deux icônes, l'une qui dessine un + et l'autre un livre ouvert. Sur l'image ci-dessous, j'indique la première icône par un point orange et la deuxième par un point rouge.

icônes Reader

L'icône + vous permet de placer cette page dans un répertoire des marque-pages particulier, qui s'appelle «Liste de lecture». C'est donc une façon de ranger certains articles à la va-vite mais de manière à les retrouver aussi vite pour les lire à loisir.
Vous auriez pu faire vous-mêmes un répertoire de ce genre, le placer bien en vue dans votre liste de marque-pages.
Mozilla nous prend un peu pour des incapables…

L'icône qui dessine un livre ouvert affiche la page web sous une forme agréable à lire :

  • Au choix, 3 couleurs de fond,
  • 2 choix de style de typo (sans sérif ou sérif),
  • Possibilité d'agrandir ou diminuer la typo,
  • Largeur du texte appropriée à la lecture,
  • aucune image (sauf exception), aucune colonne latérale.

Personnellement, je trouve cette fonction bienvenue. La lecture est reposante et peut être adaptée à votre goût et votre vision.

Pocket, non !

Mozilla aurait dû s'arrêter là.
Nous pouvons malheureusement dire que Reader était le Cheval de Troie pour introduire Pocket, application privatrice totalement inutile car elle aurait pu laisser la place à Wallabag, le même genre d'application mais sous licence libre.

Pocket est encore un truc sur du cloud (privateur, de surcroît), ce qui permet à des entreprises variées (Pocket et ses affiliés) de récupérer des données intéressantes sur les internautes. Ils ont ainsi la liste de lecture des utilisateurs confiants de Firefox. Une liste des articles que vous avez retenus pour les relire, ce n'est pas anodin, cela dit tout sur les sujets qui vous intéressent mais bien sûr, cela ne dit rien en soi sur les raisons pour lesquelles ces sujets vous intéressent.
Par exemple, vous avez un article sur le cancer dans votre liste. Cela vous intéresse. Mais avez-vous un cancer ou est-ce un de vos proches ou de vos ennemis qui a un cancer ? Pocket ne peut pas le dire mais peut imaginer ce qu'il lui plaît. Quant à Google, qui n'est jamais loin derrière toute collecte de données, il saura recouper votre intérêt pour le sujet avec vos emails ou ceux que vous avez reçus.

Donc, Pocket est un auxilliaire de plus de Google et de la NSA (ou de n'importe quelle autre agence de renseignement).

Désactiver Pocket

Je pense qu'il est impératif de désactiver Pocket. De mon point de vue, il est inacceptable de laisser Mozilla mettre du privateur dans son navigateur libre.

  • Dans about:config, trouvez un paramètre qui finit par pocket.enabled
  • Double clic sur la ligne qui s'affiche, ce qui fait passer sa valeur à «False» (Faux)
  • Trouvez browser.toolbarbuttons.introduced.pocket-button
  • Double clic sur la ligne qui s'affiche, ce qui fait passer sa valeur à «False» (Faux)

Je pense que ces deux lignes passées à «Faux» doivent suffire. Regardez quand même tout ce qui a trait à Pocket en tapant simplement pocket, c'est au moins instructif et les :
Vous verrez que Mozilla-Pocket nous a par défaut attribué une clé de client :
browser.pocket.oAuthConsumerKey
Vous pouvez vider le champ.

Plus de détails dans Liberté GNU/Linux : Sécuriser Firefox, votre vie privée et votre ordinateur.

Si vous tenez à partager des listes de lectures, sortez de Firefox et allez voir Wallabag installé que vous propose Framasoft sous la forme Framabag.

Une faille révélatrice : Firefox PDF.js

Il n'est pas besoin d'être un développeur pour comprendre l'origine de la faille découverte le 6 août 2015, par hasard, par un simple internaute. C'est encore la faute à JavaScript.

Ah, ne venez pas nous dire qu'il ne faut pas tirer à boulets rouges sur JavaScript, dont l'auteur, Brendan Eich, (ancien CEO de Mozilla) a décrit comme cochon mais vite fait, bien fait. Eich n'a jamais tiré gloriole de ce langage pratique mais moche qui fait de petits miracles faciles sur le web (comme sur Libre-Fan, ça fait les menus déroulants) et qui permet aussi de produire n'importe quelle ignominie et n'importe quel espionnage et chausse-trappe.

Des tonnes de JavaScript se cachent dans les pages web et font plein de choses dangereuses.

La faille de Firefox se résume à l'exploitation d'un morceau de code Javascript du lecteur de PDF intégré à Firefox. Sur un site web russe traînait un piège qui avait l'apparence d'une pub mais n'en était pas une et qui a déclenché le lecteur de PDF de Firefox, dont une faille a permis à un serveur ukrainien de récupérer la liste des répertoires et fichiers de l'internaute, ses clés de chiffrements, ses mots de passe et autres données du même genre.

Pourquoi un lecteur de PDF intégré à Firefox ?

Beaucoup d'internautes lisent des PDF en ligne et beaucoup aussi sont sous Windows et ont des versions d'Acrobat Reader d'Adobe (que les administrations françaises et belges s'obstinent à recommander ou à imposer même dans certains cas), vieilles et pleines de failles.

Il est donc raisonnable de la part de Mozilla d'intégrer son lecteur de PDF dans Firefox qui sera tenu à jour comme Firefox.

Sauf qu'une faille a été trouvée dans ce même lecteur et que les conséquences de cette faille sont potentiellement désastreuses, que vous ayez Windows, GNU/Linux ou Mac OS X.

L'annonce de Mozilla

Mozilla a bien annoncé cette affreuse faille mais d'une manière tout à fait insatisfaisante. C'est un billet très court, pas mis à jour, avec très peu d'information et assez inexact.

J'ai trouvé plus d'informations sur un site qui répertorie des pages web concernant les «hackers» (encore un site hébergé par Amazon, beurk), puis sur le site welivesecurity.com. L'article sur Linuxfr et ses commentaires sont en fait sans intérêt.

Je vais donc raconter dans un prochain article le détail de cette faille telle qu'elle est relatée dans ces deux sources. J'en profiterai pour faire le point sur les extensions essentielles pour Firefox, au risque de rendre moins agréable (mais plus rapide) la consultation des sites web.

Avez-vous mis à jour votre Firefox/Iceweasel ?

La première chose à faire dans le cas d'une faille découverte et rapidement réparée par Mozilla (16 heures après), c'est de mettre à jour votre GNU/Linux. Chez Debian, vous devez avoir :

  • la version 38.2.0esr-1~deb7u1 — par défaut
  • ou la version 39.0.3.1bpo70+1 — si vous avez choisi la version «Release» (dernière version stable de Firefox), paquet Iceweasel fait par la Mozilla.Debian Team)

Ayant la version «Beta-Release», je n'ai pas vu de mise à jour de sécurité et je me demande si le plus sage n'est pas de redescendre à la version «Release». Mozilla dit que toutes les versions (bêta, Aurore etc. ont été mises à jour) mais chez Debian, rien ne m'indique que c'est le cas.

Désactiver Firefox PDF.js

Après votre mise à jour, vous pouvez toujours désactiver Firefox PDF.js. On ne sait jamais si une faille ne va pas encore surgir au grand jour Sad

J'en ai déjà parlé là-bas : Firefox 19 - désactiver le lecteur de PDF mais je rajoute ici la manière de le faire de manière plus radicale :

  • Dans about:config, trouvez pdfjs.disabled
  • Double clic sur la ligne qui s'affiche, ce qui fait passer sa valeur à «True» (Vrai)

Faut-il passer à un navigateur privateur ou à Qupzilla ou à quoi ?

La question de passer à un navigateur privateur parce que Mozilla ne fait pas ce que nous voulons, ne se pose pas pour moi. Nous pouvons faire ce que nous voulons d'Iceweasel, même vendre son logo (ce qui n'est pas le cas pour Firefox dont le logo est protégé).

Un navigateur privateur sera toujours plus dangereux qu'un navigateur libre.

Quant à passer à un navigateur libre comme Qupzilla, c'est un choix possible. Ce navigateur semble bien fait, plus léger que Firefox, proche de son apparence (pas du tout le même moteur, Webkit au lieu de Gecko) mais vous ne pourrez pas lui ajouter les extensions de Firefox qui sont si précieuses. Seul le vieux module Adblock est inclus.

Vous pouvez essayer Tor Browser qui est un Firefox paramétré et doté de quelques extensions, permettant de surfer de manière anonyme sur le web, tant que vous savez rester anonymes. Cela demande de la réflexion et Tor Browser n'est pas parfait non plus (mais en constante évolution). Voyez pour commencer Tor Browser : Anonymement vôtre.

Mon souhait serait de voir Iceweasel tout prêt avec les bons paramètres, et en plus dénudé de Pocket, FirefoxPDF.js et même de Hello. Mais comme je l'ai dit en commençant ce billet, comment plaire à tout le monde ? La majorité des gens veut surfer cool, en éliminant certes les pubs envahissantes (et encore certains internautes pensent que les pubs sont une source de revenus moralement acceptable) mais avec toutes les vidéos, les images, les codes JavaScript miracles, les polices de caractères de Google et peu importe la provenance de ces mirages et le vol et la destination des données des internautes.

Au moins, si on pouvait avoir le choix entre le Firefox de Mozilla et un Iceweasel de Debian rigoureux pour internautes non anonymes mais exigeants pour leur vie privée ?

ABrowser ? IceCat ?

La réponse ne sera pas Abrowser de Trisquel car il dépend du paquet Firefox d'Ubuntu et l'unique développeur de cette distribution libre GNU/Linux n'arrive pas à maintenir à jour une version mieux paramétrée et sécurisée.

IceCat du projet GNU ne me semble pas non plus être la solution. Il se focalise sur le JavaScript non libre alors qu'il me semble que, libre ou non, JavaScript peut faire des ravages. Il vaudrait mieux que le projet GNU fasse un Iceweasel rigoureux, améliore NoScript qui a parfois de drôles de sites dans sa liste blanche (je l'ai bien modifiée), tienne à jour une liste des extensions vraiment utiles, héberge ces extensions au lieu qu'elles traînent sur des plateformes privatrices et vendues à GAFAM (Github et Sourceforge).

En travaillant sur Iceweasel, le projet GNU permettrait à Debian et à toutes les distributions dérivées de Debian (Ubuntu compris) de profiter d'un navigateur vraiment sûr. Mais GNU et Debian sont encore loin d'être très bons amis, Debian hébergeant sur ses serveurs des paquets non libres à côté des paquets libres, même si, par défaut, Debian est distribuée en version toute libre.

Alors, quoi faire ?

Si comme moi, vous ne savez pas écrire 3 lignes de code sérieux pour pouvoir faire un Iceweasel à votre sauce, documentez-vous sur le site d'aide de Mozilla, telle cette page : How to stop Firefox from making automatic connections (Comment empêcher Firefox de faire des connexions automatiques [à des sites comme Google ou Mozilla]).
Voire même en lisant le Petit Livre de Firefox que je vais mettre un peu à jour Icon wink

Et pour aller plus loin dans les conseils pratiques, voyez Liberté GNU/Linux :

Bonne lecture Smile

Commentaires

Article très intéressent. Merci.

En ce qui concerne PDF.js, vous indiquez de passer l'option pdfjs.disabled à false. Ça ne serait pas plutôt true pour le désactiver ?

Merci Blue, oui j'ai fait une erreur. C'est bien «True» («Vrai»).

Les variables pour désactiver pocket ont semble t'il changé.
J'ai uniquement 'extensions.pocket.enabled'.

Bonjour F1oron,
Oui, il suffit de taper pocket dans about:config. Firefox change vite et cet article date de plus d’un an. J’ai modifié la section sur Pocket, + un lien utile (il y a une petite astuce pour Pocket) et j’ai rajouté deux liens pour aller plus loin, en fin d’article Icon wink