#Pistage - épisode 3 : Rapture

2021 étant l’année de tous les changements (non), mais sans aller jusqu’à fonder une civilisation sous-marine coupée du monde, on va tout de même essayer de se faire une petite bulle de protection face à tous les pisteurs qui peuplent notre quotidien numérique.

Bien évidemment, tous les outils dont je vais parler ne sont pas parfaits, ne garantiront pas un anonymat complet quel qu’il soit, et ne sont peut-être pas les meilleurs. Simplement, ils sont ceux que j’utilise et recommande pour assainir un peu la navigation sur le net, tout en restant utilisables par tout le monde. On reviendra sur ce point spécifique qui n’est finalement pas du détail.

Je vais donc essayer de lister ici, par « grandes thématiques », des outils, des logiciels, des extensions… qui devraient vous aider à rendre votre écosystème numérique de tous les jours un peu plus sain pour tout le monde. De la même façon, pour de rares outils, je vous conseillerai de ne pas les utiliser (et j’expliquerai pourquoi, quand bien même ça n’engage que moi). Je ne peux évidemment pas être exhaustif : ne soyez pas contrarié(e) si l’outil top-moumoute que vous utilisez ne figure pas dans la liste, prenez plutôt 2 minutes pour passer sur Twitter ou Matrix et me suggérer de l’ajouter. Oh, et sauf indication contraire, tous ces outils seront libres et gratuits. Et je pars du principe que vous utilisez un navigateur décent (genre Firefox).

Blocage de la publicité, des pisteurs, du suivi…

Dans un navigateur Web

La façon la plus simple et courante de faire, c’est de passer par une extension qui gérera cela pour vous. Citons (et je mets en gras ce que j'utilise) :

  • uBlock Origin, qui est à mon sens le plus simple et le plus efficace. Il bloque la plupart des nuisances et fonctionne via « liste noire », permettant si nécessaire de débloquer une ressource spécifique qui « casserait » le site que vous visitez.
  • AdNauseam, qui est un « fork » (comprenez « dérivé de » ) uBlock Origin. Concrètement, il utilise la même liste de blocage et fonctionne de la même façon, à la différence qu’il simule une forme d’interaction avec chaque publicité affichée avant de la masquer. De ce fait, vous ne la voyez pas, mais en plus AdNauseam « pourrit » le profil publicitaire associé, qui ne vaut pour ainsi dire plus rien. Il a également le bon goût de montrer une estimation du coût (en $) qu’il a fait perdre aux régies publicitaires.
  • Decentraleyes, qui répond à une autre forme de pisteurs. Outre les habituels réseaux sociaux et régies pub, le Web moderne souffre d’une autre plaie, les CDN (pour « Content Delivery Network »). Pour faire très simple, plusieurs sites utilisant la librairie jQuery par exemple, plutôt que de l’héberger eux-mêmes, vont directement l’appeler depuis le CDN tiers. Lequel CDN sait, via cet appel, qui consulte la page, et peut tracer votre navigation au travers des multiples sites que vous visitez et qui feraient appel à ses services. Decentraleyes intercepte cet appel, et le remplace par le même fichier, mais stocké localement, sur votre machine.
  • ClearURLs, qui sert à « nettoyer » les liens des pages que vous visitez/partagez. C’est extrêmement pénible (et moche) de recevoir un lien vers un article de presse, au bout duquel figure un ensemble de tags utm (Google), un tag fbclid (Facebook)… et de devoir le nettoyer manuellement pour ne pas renvoyer d’infos aux vilains qui vous pistent. ClearURLs fait ça pour vous, en plus d’autres fonctionnalités plus récentes mais tout aussi utiles.
  • Redirect AMP to HTML, qui fait ce que son nom indique. Autre plaie numérique, AMP (pour « Accelerated Mobile Pages ») est une technologie ouverte mais principalement poussée/utilisée par Google, notamment sur les sites de presse. Lorsque vous cliquez sur un lien depuis la recherche Google (ou qu’on vous partage un lien AMP), sous prétexte d’accélérer/alléger la navigation, vous ne tombez pas sur le site réel mais sur une copie hébergée directement par Google. Au top pour suivre ce qui est fait ! Cette extension réécrit donc l’adresse visitée pour que vous atterrissiez sur le site original, d’autant qu’AMP ne fait pas vraiment sens sur un navigateur de bureau.
  • Privacy Badger, publié par l’Electronic Frontier Foundation, qui bloque des pisteurs et cookies. Moins efficace que d’autres, il a aussi l’avantage d’occasionner moins de « faux-positifs », et peut donc être recommandé sans souci aux débutants.
  • Disconnect, qui bloque une bonne partie des nuisances également, peut faire partiellement doublon avec uBlock. Il a perdu un peu de son intérêt depuis que Firefox intègre la liste de Disconnect à sa propre protection contre le pistage.
  • Facebook Container, qui isole les pages liées à Facebook (donc Facebook, Messenger, Instagram…) du reste de votre navigation. Moins ils en savent, mieux vous vous porterez, et ils en savent déjà bien assez.
  • HTTPS Everywhere, qui force le passage en HTTPS lorsque c’est possible.
  • Consent-O-Matic, qui reconnaît bon nombre de "bandeaux cookies" et va le remplir à votre place pour tout refuser, vous épargnant des clics supplémentaires et la recherche d'éventuels boutons "Continuer sans accepter" bien planqués par tous les éditeurs qui ne savent (toujours) pas lire les règles de la CNIL.
  • I don't care about cookies, qui vire les bandeaux cookies. Théoriquement, rien n'est déposé dans le navigateur avant consentement explicite, donc ça ne devrait pas être dérangeant de juste masquer le bandeau. Théoriquement.
  • Bypass Paywalls Clean, qui comme son nom l'indique vous permet de naviguer sur les sites qui affichent un paywall. Mais si, vous en avez forcément vu un : on vous laisse la possibilité de refuser les cookies, mais il faut payer. La fourberie à son paroxysme, plutôt que d'interroger un business model basé sur le pillage et la revente de données à l'insu des internautes.

Vous trouverez ces extensions dans le "store" de votre navigateur.

A contrario, quelques extensions à éviter : Ghostery, AdBlock, AdBlock Plus… qui ont une fâcheuse tendance à ne pas être totalement libre, à appartenir à des sociétés dont le revenu est basé sur la revente de données personnelles, ou à avoir un mode de fonctionnement douteux basé notamment sur ce qui est « intrusif mais acceptable quand même ». Outre le fait que toi et moi, lecteur fidèle, n’avons potentiellement pas la même notion que les éditeurs de ces outils de ce qui est acceptable ou non eu égard à l’intimité numérique, le problème majeur réside dans le fait qu’un tiers décide à notre place. En très gros : une régie qui paie est une régie acceptable. Voilà.

Dans le même goût, on m'a suggéré Ninja Cookie en alternative à Consent-O-Matic. Il fonctionne sûrement très bien, mais n'est pas libre/open-source, pas totalement gratuit, et avec une politique de confidentialité et un EULA dans lesquels je ne me retrouve pas. Je ne peux donc pas le recommander.

De façon générale : privilégiez Firefox pour surfer, et n’hésitez surtout pas à activer sa fonction de blocage appelée « Protection renforcée contre le pistage ». Il n'est pas parfait, mais c'est le "moins pire" actuellement côté protection des données.

Sur un téléphone

Côté Android, il y a pas mal de façons de faire. La plupart nécessitent d’être administrateur (root) sur le système, ce qui n’est non seulement pas le cas de tout le monde, mais en plus pas recommandé au vu des risques que cela peut faire courir au terminal et aux données s’y trouvant. C’est un choix qui doit être fait avec toutes les cartes en main. D’autant qu’aujourd’hui on perd un temps phénoménal à essayer de masquer au système qu’on est administrateur, puisque devant ce risque, certaines applications refusent de fonctionner : banques en ligne, streaming vidéo, jeux…

L’autre solution, c’est de simuler un VPN, local, sur le téléphone. Dans ce VPN, on applique des filtres, comme le ferait uBlock dans un navigateur.

L’avantage à utiliser une solution « à l’échelle du système » plutôt qu’à celle du navigateur, c’est que les publicités et pisteurs seront également bloqués au sein de toutes les autres applications.

On peut donc citer Blokada, et AdGuard. Le dernier dispose de fonctionnalités payantes et n’est plus open-source, mais une version un peu plus ancienne reste disponible sur F-Droid, et on peut raisonnablement penser qu’à terme l’app sera libérée. Cela peut faire sens de l’utiliser surtout si ça permet d’unifier des interfaces entre personnes du foyer (un peu d’Android, un iOS par-là…).

Quoi qu’il en soit, ces deux applications ne se trouveront que par F-Droid, ou leurs sites officiels respectifs, pour la bonne et simple raison que Google, qui contrôle ce qui figure (ou non) sur son Play Store, voit d’un assez mauvais œil les bloqueurs de publicités, dont on rappelle qu’elle constitue la majorité de son revenu.

Les utilisateurs plus avancés trouveront probablement leur bonheur avec DNSFilter. Un guide très bien fait est mis à disposition par SebSauvage.

Côté iOS maintenant, même combat. AdGuard et Blokada sont dispo. Ici, AdGuard est également open-source (oui, c’est libre sur iPhone, non-libre sur Android, c’est rigolo).

Point d’attention super important pour iOS : tous deux fonctionnent vraiment différemment.

  • Blokada utilise un serveur tiers pour la résolution de nom (DNS), le mécanisme dont on a parlé dans l’épisode 2. Il agit en tant que DNS menteur pour bloquer les nuisances. Pour autant, de fait, Blokada connaît votre navigation, et tout est question de lui faire confiance ou non.
  • AdGuard peut utiliser le DNS (mais c’est payant). Sinon, il se limitera à fournir une fonctionnalité de blocage de contenu pour Safari. Les pubs en-dehors de Safari (in-app par exemple) ne seront pas bloquées.

Pour Android comme iOS, on peut citer dans le monde de la navigation Firefox Focus, qui ne conserve pas d’historique et bloque pas mal de choses par défaut, et (pour iOS) fournit également la fonction de blocage de nuisances pour Safari.

Il existe également des services comme NextDNS, qui permettent un filtrage à l’échelle de tout le téléphone. Cela semble prometteur, mais je n’ai personnellement pas testé NextDNS (pas encore du moins). D’autres en parlent mieux que moi, à commencer par Stanislas et PixelDeTracking.

A la maison, pour tout le monde

Il existe des solutions pour nettoyer un peu le trafic réseau à la maison, bloquer telle ou telle catégorie de pisteurs, voire bloquer certains services complets.

Vous l’aurez compris, le principal souci de cette solution, c’est qu’on est pas toujours à la maison (même si en ce moment… ;) ). Et donc, dès qu’on en sort (sauf à avoir un VPN qui connecte le téléphone à la maison, ou à écouter depuis l'extérieur), la protection saute.

Mais un des avantages, c’est que vous filtrez pour tout le monde. Y compris pour des appareils qui, sans ça, ne pourraient pas disposer de filtres, par exemple une clé Chromecast, une AppleTV (et il paraît qu’elles sont bien bavardes), ou une console de jeux. Et que vous pouvez ajouter des listes, voire appliquer différents réglages en fonction de l’appareil (bloquer Instagram pour les enfants, mais pas pour vous, par exemple).

Les 2 solutions les plus simples à utiliser sont Pi-Hole et AdGuard Home. Pour autant, elles ne sont pas encore à la portée de tout le monde, malheureusement… N’hésitez pas à demander un coup de main à votre entourage « geek » si ce sujet vous intéresse.

Pour ma part, j’ai testé les deux, et le prochain article portera sur ces essais. Stay tuned.

Du point de vue de la "culture" du pistage que j'essaie de développer ici, je ne peux que vous recommander TRÈS chaudement  à regarder le reportage France 2 "Vos données personnelles valent de l'or", disponible en replay sur France.tv .

Note : cet article sera mis à jour (ir)régulièrement selon mes "découvertes" d'extensions, bonnes pratiques... j'indiquerai alors la date de dernière mise à jour :)

Maxime
Grand-Est