Copyright © 2010 Rick Moen
Copyright © 2010 Thibaut Lorrain
Copyright © Année de relecture Prénom Nom du relecteur
Article paru dans le n°171 de la Gazette Linux de février 2010.
Cet article est publié selon les termes de la Open Publication License. La Linux Gazette n'est ni produite, ni sponsorisée, ni avalisée par notre hébergeur principal, SSC, Inc.
Table des matières
J'ai remarqué que les utilisateurs de Linux avaient tendance à trouver que plein de choses étaient nulles sur la Toile en général, et sur leurs propres navigateurs : navigateurs inutilement surchargés, sites ne reposant plus que sur le « tout-flash », lésions cérébrales inhérentes aux sites « web 2.0 » orientés AJAX [1] , et cauchemars du genre « JavaScript m'a tué ». Toutefois, il faut bien dire qu'on revient de loin.
Il y eut une triste époque où le mieux que nous avions était la « communications suite » usine à gaz Netscape Communicator 4.x, mal foutue et propriétaire, dans laquelle Netscape Navigator 3.x, honnête navigateur pour son époque, avait été absorbé. C'était désespérant , parce qu'un nombre croissant de pages Web complexes (pour la plupart générées à l'aide de Fontpage) entrainait instantanément des erreurs de segmentation, et Netscape Communications, Inc. ne corrigeait pas cela.
A la suite de cela il y eut une période chaotique : Mozilla apparût en 1998, avec la variante Galeaon qui eût un certain succès, et Konqueror comme alternative indépendante du camp KDE/Qt. Les développeurs de Mozilla prirent deux décisions cruciales, la première étant le choix en octobre 1998 d'écrire un moteur de rendu totalement nouveau, ce qui s'avéra être une grande réussite. Le moteur de rendu s'appelle maintenant Gecko (autrefois Raptor, puis NGLayout), et produisit les premiers navigateurs d'une incroyable qualité, modernes et de classe internationale, la série Mozilla 0.9.x, à partir du 7 mai 2001. Pour moi, c'était la première fois qu'on pouvait vraiment utiliser à 100% d'une façon réaliste les logiciels open source sans avoir le sentiment d'être un ermite. Donc je considère le 7 mai 2001 comme le Jour de la Libération de l'open source.
Le deuxième tournant eut lieu en 2003, avec la décision tout aussi difficile de régler son compte à cette véritable usine à gaz qu'était Mozilla en abandonnant l'approche « tout-en-un » de la « Mozilla Application Suite » et en rendant à nouveau le navigateur indépendant : le projet Mozilla produisit donc Firefox (initialement appelé Phoenix), un navigateur autonome basé sur un nouveau moteur d'affichage et d'exécution multiplateforme appelé XULRunner (qui remplaçait l'éphémère environnement d'exécution Gecko). Au même moment, Galeon montra des signes de faiblesse et subit un schisme supplémentaire qui produisit le navigateur Epiphany centré sur GNOME et aux fonctionnalités réduites, et les capacités du moteur d'exécution XULRunner donnèrent naissance à Conkeror (un navigateur léger essentiellement écrit en JavaScript), SeaMonkey (une réincarnation de la suite usine a gaz Communicator) et Mobile Firefox (autrefois Minimo, puis Fennec ).
Quoi qu'il en soit, défiant les attentes des sceptiques, la fonctionnalité gagnante de Firefox s'est avérée être son interface d'extensions , utilisable par les greffons écrits dans le langage de script XUL du XULRunner. Engendrant une surcharge du navigateur [2] quand on l'utilise trop , cette interface a permis le développement de certaines extensions essentielles, avec pour résultat des fonctionnalités inégalées par aucun autre navigateur sur aucun autre système d'exploitation. Dans cet article, je détaille plusieurs extensions pour renforcer la protection toute relative apportée par Firefox de vos données privées et vous protéger contre les désagréments du Web. (Pour des raisons que j'ai expliquées ailleurs, je vous conseille si possible d'installer les logiciels des paquetages de votre distribution plutôt que ceux des auteurs de logiciels tiers , sauf dans des circonstances très exceptionnelles. Donc même si je donne les liens de téléchargement directs pour trois extensions Firefox ci-dessous, merci de ne pas les utiliser à moins que vous n'ayez d'abord essayé avec les paquetages de votre propre distribution [3] ). Je présente également un certain nombre de modifications que chaque utilisateur de Firefox devrait envisager de faire sur la configuration par défaut , là encore avec des avantages similaires au niveau de la vie privée et du renforcement de la sécurité. Pour chacun de ces changements, j'en expliquerai la logique, de sorte que vous puissiez régler votre niveau de paranoïa en fonction.
Ici commence la partie (discutable) de notre procédure qui relève d'une légère paranoïa : vous avez bien dû remarquer que les entreprises du Web tiennent énormément à vous rendre service, non? Vous découvrez tout à coup que vos logiciels vont se balader pour papoter sur Internet et vous fournir des « services » dont aviez besoin sans le savoir, en faisant intervenir des entreprises commerciales avec lesquelles vous n'avez aucune relation d'affaires. On sait vaguement que telle ou telle information est transmise à cette entreprise; on a peu de précisions sur le volume transmis; cependant, on vous dit que tout va pour le mieux parce qu'il y a une politique de confidentialité.
Il y a un adage dans le Manifeste ClueTrain, écrit en partie par le vieux gourou de Linux Doc Searls, qui dit que « les marchés sont des conversations. » Autrement dit, c'est un échange négocié : vous donnez quelque chose; vous obtenez quelque chose. Parfois vous donnez des informations, et, curieusement, les utilisateurs de Linux semblent souvent ne pas comprendre le point essentiel : l'information a une valeur, même la vôtre. Dans une conversation de marché, vous êtes censé être en mesure de juger par vous-même si vous voulez ce qui vous est proposé, et si vous voulez en payer le coût (comme certaines de vos données). Si vous n'avez pas besoin de ce qui vous est proposé, vous pouvez et devriez désactiver le « service » : c'est ce que l'on va traiter dans cet article, (ou au moins vous permettre de décider quels « services » vous souhaitez activer, au lieu de laisser les autres décider pour vous).
NoScript : le nom est un peu trompeur : cette merveilleuse extension vous permet de désactiver de manière sélective JavaScript, Java, Flash et toute une variété d'autres « contenus enrichis » potentiellement nuisibles ou dangereux (tout est désactivé par défaut), et d'activer site par site, via le menu contextuel, quels types de scripts vous voulez vraiment exécuter . De plus en plus, ces scripts sont en gros une variante de ce qu'on appelle par euphémisme « les mesures de performance Web » c'est-à-dire qu'on essaie, par la collecte de données, de vous espionner et de suivre ce que vous faites et où vous allez quand vous surfez sur la Toile. NoScript empêche tout cela de marcher, en vous laissant exécuter le Javascript, Flash, etc. dont vous avez vraiment besoin. En plus, cette extension (comme beaucoup d'autres que je mentionne) a l'avantage d'augmenter de façon significative la rapidité du Web en réduisant la quantité de code superflu que votre navigateur doit traiter. Disponible sur http://noscript.net/
Adblock Plus (« ABP ») : cette extension effectue du filtrage supplémentaire , ayant carrément pour effet de ne pas télécharger une quantité de banières de pub nuisibles et autres éléments publicitaires. Hautement recommandée, quoique certains préfèrent plutôt l'ancienne extension « Adblock ». Conséquence pour la vie privée ? Naturellement, des collectes de données supplémentaires sont éliminées dans l'affaire. Disponible sur http://http://adblockplus.org/en/
L'efficacité d'ABP peut être considérablement améliorée en ajoutant des abonnements à des listes de filtrage ABP mises à jour en permanence. J'ai trouvé qu'une combinaison d'EasyList et EasyPrivacy est efficace et fiable, et je les recommande. (EasyList est actuellement par défaut dans ABP.) Comme ce ne sont que des listes de filtrage se basant sur les formes des URL, les abonnements posent moins de problème au niveau sécurité que les extensions Firefox elles mêmes, mais il faudra tout de même les choisir avec discernement.
CustomizeGoogle : cette extension supprime une grande partie des fonctionnalités principales de Google liées à la publicité et à la collecte de données, stabilise vos préférences pour changer un peu, ajoute des liens pour permettre, si on le souhaite, de consulter d'autres moteurs de recherche pour la même requête , rend anonyme la chaîne identifiant utilisateur Google qui est envoyée quand vous faites une recherche sur internet avec Google ( réduisant grandement la capacité de Google à faire le lien par la collecte d'information entre ce que vous cherchez et qui vous êtes), etc. Sachez qu'il vous faudra configurer CustomizeGoogle avec attention, car la plupart des améliorations sont désactivées par défaut . Disponible sur http://www.customizegoogle.com/
Au passage, je précise que j'apprécie énormément l'entreprise Google Inc, même après qu'elle ait acheté en 2007 la tristement célèbre firme spécialisée dans l'espionnage des consommateurs, DoubleClick Inc, ce qui nous a rappelé discrètement que le coeur de métier de la société parente tourne vraiment, intrinsèquement , autour de la collecte et l'exploitation de données et de la publicité ciblée. Ce que je veux vraiment (ainsi que les lecteurs de la Gazette Linux, je suppose), c'est utiliser ses services, et que ce soit moi qui choisisse, et personne d'autre, de pouvoir négocier ce que je leur donne, ainsi qu'à la Mozilla Corporation, et aux autres partenaires commerciaux, et surtout pas qu'on me le prenne quand j'ai le dos tourné. Par exemple, la première version Alpha d'Ubuntu 10.04, « Karmic Koala », comportait ce que Jon Corbet de LWN.net appelait « la méta recherche surprise d'Ubuntu » : une barre de recherche de Firefox modifiée qui envoyait comme ça les utilisateurs vers la page d'« un partenaire de recherche » de Google pour mieux (et sans faire de bruit, sans rien révéler ) collecter des données lucratives sur ce que vous et moi sommes en train de faire. (Cette fonctionnalité a été enlevée à la suite de plaintes, mais le fait est que nous, les utilisateurs, n'avons pas été informés ou interrogés pour savoir si on voulait ou non être surveillés d'un peu plus près pour rendre ce « service » possible)
User Agent Switcher : cette extension ne concerne pas techniquement la sécurité et la vie privée à proprement parler mais elle est utile en elle-même et comme moyen de faire passer un message aux sociétés qui font de la publication sur le Web à propos des normes. Il s'avère que de nombreux sites interrogent le navigateur sur sa chaîne de caractères « User Agent », puis décident sur la base de sa réponse si ils lui envoient une page Web ou pas et quelle page ils vont envoyer. User Agent Switcher vous permet de choisir dynamiquement lequel parmi les nombreux navigateurs les plus répandus vous voulez que Firefox dise être, ou vous pouvez écrire le votre. En général, le mien envoie « Les standards W3C sont importants. P..., arrêtez d'être obsédés par le User Agent », pour les raisons que mon ami Karsten M. Self a mentionnées :
Dans la plus pure tradition de Alice's Restaurant, si quelqu'un fait cela, ils vont peut-être penser qu'il est malade et refuseront d'envoyer la page. Si deux personnes le font, en harmonie, et bien ils vont se faire traiter de minables partisans de la liberté d'expression, et ils ne les serviront pas non plus. Si trois personnes le font, trois, vous imaginez, trois personnes qui changent leur chaîne User-Agent pour qu'elle dise « P..., arrêtez d'être obsédés par le User-Agent... ». Il vont peut-être penser que tout ça est organisé. Et pouvez-vous imaginer cinquante personnes par jour ? Mes amis, ils penseront que c'est un mouvement. Et c'est ça le truc... Si cette chaîne de caractères apparaît dans suffisamment de journaux de serveurs Web, le message se fera sentir.
Disponible sur : http://chrispederick.com/work/user-agent-switcher/
J'ai mis sur ma page personnelle la liste d'un certain nombre d'extensions, qui peuvent être intéressantes.
[ Je recommande également la barre d'outils de l'extension Web Developer. Même si vous n'êtes pas un développeur Web, cet outil peut vous aider à désactiver les feuilles de style et mises en page pénibles. En plus, vous pouvez instantanément supprimer tous les cookies et authentifications HTTP du site que vous visitez (à l'aide de Miscellaneous/Clear Private Data/.. dans le menu ...). -René ]
Édition : Préférences : Contenu: Sélectionnez Avancé pour « Activer JavaScript » et déselectionner tout. Motif : rien ne justifie que JavaScript doive interférer avec ces aspects de votre navigateur. Puis décochez Java, à moins que vous utilisiez effectivement des applets Java dans votre navigateur Web. (Si vous en avez besoin, vous pourrez toujours les réactiver.)
Édition : Préférences : Vie privée : Décochez la case « Accepter les cookies tiers. » Motif : je n'ai vu qu'un seul site où ils étaient essentiels pour le fonctionnement du site, et même la, ils étaient clairement utilisés aussi pour de l'exploration de données. Activer « Vider l'historique lors de la fermeture de firefox ». Cliquez sur « Paramètres » et cochez tout. Motif : lorsqu'on demande de supprimer des données privées, il faut que cela soit effectif. Désactiver « Conserver l'historique des recherches et des formulaires ». Motif : les données des formulaires précédents sont souvent sensibles au niveau de la sécurité. Envisagez de désactiver « Conserver l'historique de navigation pendant au moins N jours » et « Conserver l'historique des téléchargements ». Motif : il n'y a pas beaucoup d'avantages à conserver ces données privées en permanence, alors pourquoi les journaliser?
Édition : Préférences : Sécurité : Allez dans « Exceptions » pour « Prévenir lorsque les sites essaient d'installer des modules complémentaires » et supprimez tout. Motif : vous devez savoir pourquoi. Désactiver « Bloquer les sites signalés comme étant des sites d'attaque » et « Bloquer les sites signalés somme étant des contrefaçons ». Motif : éliminer les visites périodiques à un site de filtrage antihameçonnage et anti-programme malveillant. Franchement, vous savez bien reconnaître un faux par rapport au vrai EBay et à votre vraie banque, et vous savez bien qu'il ne faut pas exécuter les logiciels malveillants, non? « Enregistrer les mots de passe » : si vous le laissez coché, rappelez-vous que Firefox va les laisser dans une base de données centrale qui n'est que modérément cryptée, et encore, seulement si vous définissez un mot de passe « maître ». N'oubliez pas, aussi, que même les sites pour lesquels on a choisi de « Ne jamais enregistrer » les mots de passe constituent une liste qui n'est pas cryptée du tout et qui peut être très révélatrice. Les prudents désactiveront cette fonctionnalité complètement, ou, au minimum, éviteront d'enregistrer les mots de passe pour tout site sensible.
Édition : Préférences : Avancé dans l'onglet Général, activez « Prévenir lorsque des sites Web tentent de rediriger ou de recharger la page ». Motif : c'est pour reconnaître les manoeuvres douteuses. Sur l'onglet Mise à jour, désactivez « Vérifier automatiquement les mises à jour pour : les modules complémentaires » et « Vérifier automatiquement les mises à jour pour : les moteurs de recherche », et sélectionnez “Quand des mises à jour de Firefox sont trouvées : Demandez-moi ce que je veux faire”. Motif : c 'est à vous de décider ça, et de décider quand ça doit se faire.
Maintenant passons à l'URL « about:config ». Vous verrez l'avertissement condescendant « Attention, danger ! » Sélectionnez le bouton « Je ferai attention, promis! » (on vous prend pour un gamin!) et décochez la case « Afficher cet avertissement la prochaine fois ». Motif : c'est la fichue configuration de votre navigateur. En toute hypothèse, si vous avez totalement merdé, au pire, vous pouvez fermer Firefox, supprimer ~/.mozilla/firefox/ (après avoir sauvegardé votre bookmarks.html), et recommencer.
Mettez « browser.urlbar.matchOnlyTyped = true » : désactive l'« Awesome Bar » de Firefox 3.x qui propose des recherches dans la zone de recherche basées sur ce qu'elle apprend en regardant vos signets et votre historique, qui n'est pas (à mon avis) si utile que ça, et qui laisse traîner des renseignements sur vos habitudes de navigation. [NdR: cette option ne semble plus exister dans les nouvelles versions de Firefox]
Mettez « browser.tabs.tabMinWidth = 60 » et « browser.tabs.tabMaxWidth = 60 » : Réduire la largeur onglet d'environ 40%. Motif : ils sont trop larges.
Mettez « bidi.support = 0 » : Motif : à moins que vous ne saisissiez des données en arabe, hébreu, ourdou, ou persan, vous n'aurez pas besoin de prise en charge bidirectionnelle pour les zones de texte. Pourquoi courir le risque de déclencher des bogues?
Mettez « browser.ssl_override_behavior = 2 » et « browser.xul.error_pages.expert_bad_cert = true » : cela rétablit le comportement des versions 2.x pour la gestion des certificats SSL non sécurisés. Motif : les dialogues à propos des SSL non sécurisés sont, dans Firefox 3.x tout à fait fastidieux, les questions « Voulez-vous ajouter une exception? » et tout ca.
Mettez « network.prefetch-next = false » : désactive le préchargement des liens de pages que Firefox anticipe. Motif : évite un gaspillage inutile de bande passante et permet d'éviter l'envoi d'encore plus d'informations sur votre navigation.
Mettez « xpinstall.enabled = false » : empêche globalement Firefox de rechercher les mises à jour de Firefox et les extensions installées. Motif : c'est à vous d'en décider, pas à Firefox.
Mettez « permissions.default.image = 3 » : cette commande spécifie quelles images (éléments graphiques) télécharger, où 1 = toutes, indépendamment de l'origine (par défaut), 2 = les bloquer toutes, 3 = télécharger seulement à partir du site sur lequel vous êtes. Motif : les images de sites tiers sont des bannières publicitaires ou des web bogues, 99% du temps. Notez que la capacité de bloquer les images de tiers faisait autrefois partie des préférences normales de Mozilla / Firefox, mais elle a été bannie pour «about:config» dans le cadre d'une simplification générale.
Mettez « network.dns.disableIPv6 = true » : empêche Firefox de tenter des recherches IPv6. Motif : pour le moment, pour la plupart d'entre nous, cette fonction n'a aucun intérêt, et cela gaspille du trafic réseau d'essayer en IPv6 avant de revenir en IPv4 ordinaire. Si le monde change, vous pouvez remettre ce paramètre comme avant.
Mettrez « extensions.blocklist.enabled » à disabled : empêche Firefox de consulter de manière répétée un site distant pour avoir une liste noire des logiciels malveillants. Motif : gaspillage de trafic, et la logique habituelle s'applique en ce qui concerne les logiciels malveillants.
Laissez « vide » les trois éléments « browser.contentHandlers.types. [012].uri » : empêche Firefox de consulter de manière répétée Bloglines, My Yahoo, et Google pour des flux RSS qui ne vous intéressent pas forcément. Motif : gaspillage de trafic réseau.
Mettez « plugin.default_plugin_disabled = false » : ceci empêche la libnullplugin.so de Firefox de faire apparaître des boites de dialogue énervantes pour vous dire d'aller à la chasse aux greffons/extensions à chaque fois que vous rencontrez un fichier sur le Web avec un type MIME inconnu. Motif : arrête les suggestions répétitives de Firefox (dans une barre jaune en haut de la page) d'installer encore plus de greffons/extensions.
Mettez « geo.enabled » à disabled : encore un autre service Google qu'ils jurent leurs grands dieux n'être absolument pas une atteinte à la vie privée, et qu'ils ont une politique de confidentialité, etc. Dans ce cas précis, c'est de la « navigation geolocalisée », où , sur « les sites Web de géolocalisation », Google permettra d'estimer votre latitude et votre longitude et pour fournir des services plus pointus tels que Hé! Regardez! Y'a une pizzéria au coin de la rue. Motif : évident, j'imagine. La désactivation de cette clé fait complètement disparaître la fonctionnalité.
Nous avons déjà légèrement effleuré cette parano bien répandue concernant les cookies de votre navigateur. Comme beaucoup d'autres fonctions de navigation, les cookies ont un but bien légitime, celui d'assurer le stockage permanent de données pour ce qui est normalement un protocole sans état (HTTP), par exemple, les données de session. Bien sûr, la fonction a connu des abus à peu prés une milliseconde après son invention, mais le décochage précité du « Accepter les cookies tiers » permet, à mon avis, de contrôler assez bien de tels abus.
Par contre, on a souvent du mal à comprendre et à contrôler les cookies Flash, qu'Adobe appelle « Local Shared Objects », une base de données cachée, pouvant contenir jusqu'à 100 Ko par domaine, géré par l’installation locale du lecteur Adobe (ex-Macromedia) Flash dans votre dossier ~/.macromedia, dans des fichiers avec des extensions .sol. Quelles données? Tout et n'importe quoi, mais surtout l'habituel et pénible suivi individuel de l'utilisateur, mais cette fois avec 25 fois plus de place et pas de contrôle efficace. Mauvais? Tu parles. Des chercheurs ont constaté que les entreprises ont recours à des cookies Flash non seulement pour pister les utilisateurs mais aussi pour recréer, derrière le dos de l'utilisateur, les cookies normaux qu'il a délibérément supprimé et ce, de manière invisible pour la gestion de la vie privée du navigateur et hors de sa portée. Il convient également de remarquer que les données dans les cookies Flash sont également interrogeables par n'importe quelle autre application pouvant utiliser Flash.
La recommandation d'usage pour contrôler les cookies Flash (qui, bien sûr, posent bien moins de problèmes si on a NoScript et Adblock Plus) est une autre extension Firefox, BetterPrivacy , mais je voudrais expressément déconseiller cette solution, parce que BetterPrivacy est un logiciel propriétaire dont le code source n'est même pas disponible pour inspection. Rendez-vous compte : vous vous seriez cassé la tête pour pouvoir utiliser un navigateur open-source sous un SE open-source, pour ensuite charger un module propriétaire disponible uniquement en version binaire venant de quelqu'un que vous ne connaissez même pas et clamant « hé, faites-moi confiance »!
La véritable solution open source est le nouveau Objection de Greg Yardley's, qui semble valoir le coup d’être testé. Par ailleurs, il semble presque aussi facile d'écrire une tâche cron hebdomadaire toute bête pour supprimer les cookies Flash indésirables par nom de fichier. (Par exemple, vous voudrez peut-être garder les cookies de certains domaines , qui semblent ne contenir que des paramètres de Flash inoffensifs, tels que les paramètres des jeux Flash et des données de connexion de certains sites, et virer le reste.)
Chez Adobe Systems, Inc, on propose même une troisième possibilité: la visite d'un ensemble de pages Web Adobe appelé Flash Settings Manager permet de visualiser et de contrôler les cookies Flash via, devinez un peu, un panneau de contrôle basé sur Flash que la société fournit à cet effet. Utilisez-le si vous le souhaitez. Personnellement, je trouve que l'idée d'utiliser l'aide d'Adobe pour maîtriser un risque de confidentialité qu'ils ont créé est ... peu judicieux, tout bien pesé; cependant, ça a été instructif et utile de voir les paramètres.
Il y a beaucoup d'améliorations qu'on pourrait aussi faire au niveau esthétique pour que Firefox paraisse plus propre, mais c'est évidemment une affaire tout à fait personnelle, donc je vais vous épargner mes propres préférences dans ce domaine. Il suffit de dire que fouiller les menus Édition : Préférences et Affichage ne sera pas du temps perdu.
Remerciements : le texte ci-dessus est entièrement original, mais beaucoup d'idées sur la configuration de Firefox viennent des blogueurs Uwe Hermann et Wouter Verhelst et de plusieurs commentateurs anonymes et je leur suis à tous reconnaissant.
Rick Moen Rick utilise des systèmes
Unixlibres depuis 1992, et a apporté sa contribution au tout premier systèmeBSD386, puis àLinux. Il abandonne les systèmes non-Unix(OS/2 Warpen l'occurence) en 1996. Il se spécialise en administration système, conception et architecture des réseaux WAN/LAN, conseil et support. Il participe à l'organisation de LINC Expo (qui évoluera pour devenir LinuxWorld Expo à San Jose), aux « Windows Refund Day », et plusieurs autres grands évènements de la communautéLinuxautour de San Francisco. Il rédige des textes pour IDG/LinuxWorld, SSC, et l'Association USENIX. Il donne des conférences pour LinuxWorld Expo ou en d'autres occasions.Il eut l'occasion d'approcher un mainframe IBM à cartes à Stanford dés 1969, puis dans les années 70 s'intéressa aux premiers systèmes à temps partagé de HP, ainsi qu'aux ordinateurs de la société PDP8, aux micro-ordinateurs des membres du célèbre Homebrew Computer Club ou d'IBM, suivit aussi les sessions d'été BSD à Berkeley, etc.
Quand il ne joue pas en ligne, il aime faire de longues courses à bicyclette ou s'occuper de science-fiction.
biographie traduite par Nicolas Provost
<npo CHEZ wanadoo POINT fr>.
L'adaptation française de ce document a été réalisée dans le cadre du Projet de traduction de la Gazette Linux.
Vous pourrez lire d'autres articles traduits et en apprendre plus sur ce projet en visitant notre site : http://www.traduc.org/Gazette_Linux/.
Si vous souhaitez apporter votre contribution, n'hésitez pas à nous rejoindre, nous serons heureux de vous accueillir.
[1] le chroniqueur informatique David Berlind a défini le « Web 2.0 » comme ceci : « Lorsque le bouton “Retour” ne fonctionne pas ».
[2] La surcharge de Firefox est généralement une vraie préoccupation. À partir d'environ 2006, Jason Halme a nettement montré la gravité de cette surcharge, en sortant une variante configurée et compilée de manière optimale (mais sous licence propriétaire) appelée Swiftfox , qui est nettement plus rapide dans le lancement et le rendu, et comprend également une protection contre les attaques par débordement de tampon .
Probablement inspiré par le travail de Halme, le développeur « SticKK » a publié une variante très similaire sous la licence open source MPL 1.1 d'origine de Firefox, appelée Swiftweasel , qui vaut le coup d’être envisagée à la place d'un Firefox conventionnel, et qui est disponible dans les distributions Linux courantes. Elle est totalement compatible avec les extensions de Firefox. (Si vous êtes un utilisateur de Mozilla Thunderbird, le Swiftdove « de SticKK » apporte également les mêmes avantages à ce programme.)
[3] Par exemple, Debian et Ubuntu offrent tous les deux des paquets à jour pour Adblock, Adblock Plus, NoScript, et l'extension Web Developer mentionnée par René Pfeiffer. Un paquet pour User Agent Switcher est actuellement proposé . Et même Fedora, pas la plus généreuse des distributions de bureau, propose au moins NoScript. Donc, vérifiez les dépôts de votre distribution préférée.
La capacité des utilisateurs de Linux et de BSD à compter sur leurs mainteneurs de paquets de distribution comme rempart contre les problèmes de sécurité, les problèmes de qualité, et même contre les débordements « en amont » (terme utilisé pour se référer à la source du code des auteurs originaux qui est sélectivement récupérée et packagée, souvent avec quelques modifications, par les distributions Linux) leur donne un énorme avantage dont les utilisateurs de MS-Windows et MacOS ne peuvent que rêver. Avec plus d'une décennie d'expérience, on peut considérer qu'on est beaucoup plus en sécurité lorsqu'on fait confiance à cette fonction de gardiennage, et si jamais on sort de ce contexte pour aller vers des sources «en amont», il faut le faire avec la plus grande prudence.
Sources « en amont » de quoi , demanderez-vous? Les extensions Firefox sont un excellent exemple. Ne vous méprenez pas : ce sont des programmes, et il faut être sur ses gardes. Parcourez les listes du portail https://addons.mozilla.org/ du site de Mozilla Organisation avec scepticisme, et vous remarquerez très vite que le site ne dit rien de la licence ou du code source de chaque entrée, mais par contre, il vous précipite vers le gros bouton « Ajouter à Firefox ! » En fait, un grand nombre des extensions de ces listes se révèlent être, à la suite d'un examen plus attentif, des logiciels propriétaires et uniquement binaires, qui ne sont vérifiés par aucune personne de confiance et qui ne le seront jamais. Dans toute situation où on vous demande, mine de rien, d'exécuter du code venant de personne en particulier (description honnête des extensions propriétaires inauditables venant de personnes dont vous n'avez jamais entendu parler) votre première réaction devrait être « Non. Pourquoi diable le ferai-je ? » Toutes les extensions que René et moi avons mentionnées sont véritablement open source, et faites par des personnes ayant une (généralement bonne) réputation établie, ce qui n'exclut pas, cependant, qu'il faudra quand même d'abord les chercher parmi les paquets de votre distribution, avant de recourir à la récupération « en amont » du code à partir des sites des auteurs.
Avantage : le responsable du paquet de la distribution ne devrait accepter le code de l'amont que lorsqu'il aura été vérifié pour sa qualité, sa conformité avec la politique de votre distribution Linux, ne pas être une version bêta pleine de bogues (tout le nouveau code d'en amont n'est pas nécessairement une amélioration), qu'il aura été lu pour ( avec de la chance) trouver toute surprise désagréable, et qu'on aura vérifié qu'il a été signé par le vrai codeur d'origine pour éliminer la possibilité que du code de substitution sous forme de cheval de Troie (piégé) ait été inséré par des individus malintentionnés à la place du véritable code de l'auteur. De plus, vous recevrez, par la suite, des mises à jour semi-automatiques de façon rationnelle, via les mises à jour régulières de vos paquets, dans le cadre harmonisé de votre distribution Linux.
Comme autres exemples d'ajouts tiers, on a des applications Web offertes de manière attrayante comme archives tar.gz (ou zip) directement téléchargeables, toutes sortes de paquetages .deb/.rpm tiers, des soi-disant économiseurs d'écran, des soi-disant jeux de poker sur Internet, des soi-disant codecs vidéo, des soi-disant thèmes de bureau, des soi-disant « cartes d'anniversaire », des soi-disant logiciels auxiliaires, etc, Soyez sur vos gardes : la sécurité des modules d’économiseurs écran ne vous préoccupe sans doute pas, car ce sont juste de magnifiques papier peints, mais supposons qu'un tel module est publié sur un site de la communauté au format .deb (et que vous êtes, disons, sous Ubuntu). Vous devrez installer ce paquet avec votre gestionnaire de paquets , en utilisant sudo ou les droits root, pas vrai? Hop là, mauvaise idée, car cela signifie que vous exécuterez tout script inclus avec les droits root, et jusqu'à quel point aviez-vous confiance en la personne inconnue derrière cet économiseur d'écran? Ce scénario s'est déjà produit, et les novices imprudents se sont tiré dans le pied en installant un cheval de Troie en faisant confiance à un soi-disant écran de veille qu'un monsieur tout le monde avait inscrit sur http://gnome-look.org .
Il est important de se rendre compte qu'aucune protection de sécurité ne permet de protéger un utilisateur qui met en péril la sécurité de son système en exécutant un logiciel indigne de confiance venant d'on ne sait où. Si vous décidez de faire un petit détour pour aller chercher cette arme métaphorique et la braquer sur vos pieds, c'est vous qui serez responsable du trou que vous aurez au bout du pied. La meilleure chose que la communauté Linux peut faire, c'est vous aider à savoir à quel moment un signal d'alarme doit vous alerter d'un grave risque . Sortir du contexte des logiciels empaquetés de votre système pour aller vers toute source de logiciels tiers est l'un des principaux signes de danger.
[4] Ma référence quelque peu sarcastique à l'« expérience informatique enrichie » fait référence à une rencontre entre la société Microsoft et la communauté technique : plus précisément, le développeur de chez Microsoft, Bob Atkinson, avait remarqué en 1997 une discussion assez critique sur RISKS Digest a propos de son algorithme « Authenticode » qui avait pour but d'assurer que les contrôles ActiveX dans Microsoft Internet Explorer étaient « sûrs » puisqu'ils étaient signés cryptographiquement avec (ce qu'on espère) une clé de l'expéditeur non révoquée et valide. Il avait rassuré les habitués de RISKS que Microsoft voulait simplement garantir une « expérience enrichie de l'informatique », que Microsoft avait couvert tous les problèmes, et que tout irait bien. Sa logique et ses méthodes ont ensuite été de manière experte mais poliment réduites en bouillie en une période de dix jours, les commentaires valent leur pesant de popcorn, en particulier un bien beau résumé de Peter Gutmann de Nouvelle-Zélande.