La vie privée made in Mozilla

La traque

Mozilla, la bien connue fondation éditant notamment Firefox, prétend être plutôt soucieux de votre vie privée. Je me permets aujourd’hui de remettre en partie en cause cette louable intention, les faits sont parfois un peu têtus. Le problème en question m’a été originellement signalé par Aeris sur Twitter et c’est en rediscutant récemment que je me suis dit qu’en faire un billet serait sans doute utile.

Le problème se situe donc dans Firefox et Thunderbird. Ce qui a fait, entre autre, la réputation de ces logiciels est la possibilité d’y adjoindre de nombreux modules afin d’ajouter des nouvelles fonctionnalités à celles déjà présentes. Pour ce faire, dans Firefox, on se rend sur à l’URL about:addons (ou le menu Modules complémentaires dans Thunderbird). Ce menu, notamment la page catalogue est en réalité une page web chargée depuis addons.mozilla.org. On peut la voir ici affichant un inoffensif chaton mignon :

Problème, ce site héberge le traqueur Google Analytics. Ce dernier va donc se charger via le menu de votre logiciel. Pis, les modules de protection de la vie privée (uMatrix et uBlock en l’occurrence - les liens pointent vers Github et non le site des modules chez Mozilla pour la peine) sont désactivés par défaut sur tout URI avec le plan about: ! Voilà donc de la donnée fraîche et juteuse pour Google la Pieuvre. On voit ici avec les logs d’uBlock la requête pour récupérer le script.

Même constat avec uMatrix.

Donc, sous Firefox, rendez-vous sur la page about:addons et activez le module de votre choix (sous uMatrix, il faut cliquer sur le bouton On/Off puis sauvegarder vos modifications en cliquant sur le cadenas).

Sous Thunderbird maintenant ? Le fonctionnement du menu est identique. On peut constater le problème en regardant les requêtes DNS émises lors du démarrage du logiciel (et l’ouverture du menu) :

		Jul  7 22:22:45 ShaftTesting-VM unbound: [1169:3] info: 127.0.0.1 services.addons.mozilla.org. A IN
		Jul  7 22:22:45 ShaftTesting-VM unbound: [1169:1] info: 127.0.0.1 services.addons.mozilla.org. AAAA IN
		Jul  7 22:22:47 ShaftTesting-VM unbound: [1169:3] info: 127.0.0.1 ocsp.digicert.com. A IN
		Jul  7 22:22:47 ShaftTesting-VM unbound: [1169:2] info: 127.0.0.1 ocsp.digicert.com. AAAA IN
		Jul  7 22:22:52 ShaftTesting-VM unbound: [1169:2] info: 127.0.0.1 live.mozillamessaging.com. A IN
		Jul  7 22:22:52 ShaftTesting-VM unbound: [1169:0] info: 127.0.0.1 live.mozillamessaging.com. AAAA IN
		Jul  7 22:22:52 ShaftTesting-VM unbound: [1169:2] info: 127.0.0.1 addons.cdn.mozilla.net. A IN
		Jul  7 22:22:52 ShaftTesting-VM unbound: [1169:0] info: 127.0.0.1 addons.cdn.mozilla.net. AAAA IN
		Jul  7 22:22:53 ShaftTesting-VM unbound: [1169:0] info: 127.0.0.1 ocsp.usertrust.com. A IN
		Jul  7 22:22:53 ShaftTesting-VM unbound: [1169:1] info: 127.0.0.1 ocsp.usertrust.com. AAAA IN
		Jul  7 22:23:08 ShaftTesting-VM unbound: [1169:0] info: 127.0.0.1 ssl.google-analytics.com. A IN
		Jul  7 22:23:08 ShaftTesting-VM unbound: [1169:1] info: 127.0.0.1 ssl.google-analytics.com. AAAA IN

Sans commentaires. Pour se prémunir de cela dans Thunderbird, le module uBlock Origin est disponible : téléchargez le et rendez-vous dans les options, cliquez sur Afficher le tableau de bord, puis aller dans l’onglet Liste blanche. Là, supprimez la ligne about-scheme et sauvegardez.

La présence de ce traqueur dans les logiciels semble bien volontaire de la part de Mozilla (en cas de doutes, un deuxième lien et un troisième). Le fait qu’il se trouve dans ce menu en particulier, où tout utilisateur se rendra notamment lors du premier démarrage pour y récupérer les bon modules est une circonstance aggravante. Que Mozilla veuillent récupérer des données sur l'installation de plugins, mettons. Mais qu'ils passent par le traqueur de Google est inacceptable. En attendant, j’ai signalé la chose au développeur d’uBlock (le signalement de problème est désactivé pour uMatrix). Notons qu’une bonne protection reste le résolveur DNS menteur. Pour finir et pour retourner le couteau dans la plaie, la page d'acceuil de addons.mozilla.org :

PS : uBlock ne sera pas activé par défaut sur about:addons (Problème décliné son développeur).