L’ avènement du coronavirus a donné lieu à un nombre croissant d’arnaques en ligne et de cyber malveillance. Dans sa page d’actualité consacrée au coronavirus, le site cybermalveillance.gouv.fr écrit :
« Vérifier la fiabilité et la réputation des sites que vous visitez, que ce soit pour vous informer ou réaliser un achat. Avant de fournir des informations personnelles ou bancaires, assurez-vous du sérieux du site sur lequel vous comptez vous inscrire ou commander en consultant les avis et en recherchant sur votre moteur de recherche d’éventuelles malversations connues.
Au moindre doute, abstenez-vous !
Avec la crise du CORONAVIRUS – COVID19 on voit fleurir de faux sites de ventes de masque chirurgical (FFP2), de gel hydroalcoolique, de téléconsultation médiale, de médicaments miracles ou de vaccins expérimentaux qui n’existent évidemment pas et qui n’ont d’autres objectifs que de vous escroquer. Les cybercriminels pourraient même vous livrer des produits périmés ou contrefaits qui mettraient en danger votre santé ou celle de vos proches. »
Par le biais d’un cas pratique, nous vous proposons de décrire un cheminement de recherches permettant de « vérifier la fiabilité et la réputation » d’une plateforme de vente en ligne. L’objectif d’un tel guide est de se doter d’un faisceau d’informations permettant de ne pas se faire escroquer, en supplément de tout ce qui peut être fourni par les réseaux sociaux et les forums de consommateurs.
Repérage
Sur un navigateur sans le moindre bloqueur de publicité activé, quel est le premier résultat proposé si l’on se met en quête de gel hydroalcoolique ?
Observer le site
La première étape consiste à bien observer le site internet pour voir son rendu général: est-ce un site bien fait? Y-a-t-il des éléments choquants?
Ici une faute d’orthographe qui ne fait vraiment pas sérieux…..On peut donc se demander s’il n’ y a pas anguille sous roche….
Généralités sur les noms de domaine
Pour commencer, il est nécessaire de rappeler les bases sur les noms de domaine. Pour trouver un site internet, tout comme trouver la maison de quelqu’un, il faut une adresse. Dans notre cas une adresse internet qui est composée de trois parties: le préfixe « www » (world wide web), un nom de domaine, lui-même composé d’une chaîne de caractères, et une extension (TLD – Top Level Domain). Dans l’exemple ci-dessous, l’extension utilisée est relative à la France : le .fr. La gestion des noms de domaine sous l’extension .fr est effectuée par l’AFNIC, l’office d’enregistrement désigné par l’État pour la gestion des extensions française: .fr, .re (Ile de la Réunion), .pm (Saint-Pierre et Miquelon), .tf (Terres australes et antarctiques françaises), .wf (Wallis et Futuna), .yt (Mayotte).
L’ensemble des démarches liées a un site internet (création, renouvellement, transfert, changement de titulaire ou suppression des noms de domaine) sont prises en charge par un prestataire de services (fournisseur d’accès à Internet, hébergeur, agence web, etc.) qui joue le rôle d’intermédiaire entre l’individu qui met en place un site internet et l’AFNIC.
Ces bureaux d’enregistrement permettent d’enregistrer un nom de domaine de manière anonymisée ou en mentionnant parfois une ou plusieurs des informations suivantes :
Nom
Prénom
Adresse
email
Téléphone
Adresse
Postale
Lorsqu’on
déclare un nom de domaine, on vérifie d’abord si ce dernier n’a
pas déjà été enregistré par une autre personne. De facto, via
des moteurs de recherche spécifiques, on a alors accès aux
informations sus-citées.
Des
moteurs de recherche particuliers
La galaxie des moteurs de recherche de noms de domaine est touffue et hétérogène. Tous ne fournissent pas les mêmes informations, lesquelles sont souvent présentées de manières multiples. Via le méta-moteur suivant, il est possible d’avoir accès à 27 moteurs de recherche différents :
(Attention
: un onglet par moteur de recherche sera ouvert sur votre navigateur)
Extraction
de la donnée intéressante
Sur Domain Dossier, il est fait mention d’une adresse email qui a été utilisée pour déclarer le nom de domaine ma-petite-pharmacie.fr :
Exploitation
de l’adresse email
Pour pivoter sur l’adresse email, on peut faire une simple requête google qui donne des résultats éloquents immédiatement :
Sur
Website
Informer,
on retrouve l’email, ma-petite-pharmacie.fr,
d’autres sites web et … un nom de société !
On peut ensuite faire une recherche classique sur la société afin de trouver qui en a le controle. Via Manageo, la société en question nous renvoie sur le nom de son propriétaire :
Pivot sur le numéro de téléphone
On peut aussi chercher le numéro de téléphone qui apparaît sur le site internet pour voir s’il donne d’autres informations. On remarque vite qu’il est utilise par d’autres sites commerciaux en ligne….
Il s’agit en fait d’un numéro IP Callr destiné à faire croire que c’est un numéro terrestre marseillais
Recoupements
Le
site de l’Association de Défense des Consommateurs de France a
manifestement déjà procédé à quelques recherches :
Twitter
n’est pas en reste non plus, et a permis de fournir un titre à cet
article :
A
ce stade des investigations, le faisceau d’informations récoltées
est amplement suffisant pour se faire un avis quant à
ma-petite-pharmacie.fr.
Pour conclure
Ce n’est pas parce qu’un site de vente en ligne apparait en tout premier dans les résultats de Google qu’il est forcément fiable.
Vous ne serez jamais le tout premier visiteur d’un nouveau site de vente en ligne, c’est mathématique. Si vous avez des doutes sur lui, il y a de fortes chances que quelqu’un en ait eu avant vous, et les ait exprimés sur les réseaux sociaux ou sur les sites d’entraide entre consommateurs.
En cas de doutes, il est simple et rapide de se faire une idée sur un site internet et de diminuer les chances d’arnaques. La peur est un des leviers de base de la manipulation. Elle ne fait pas de vous quelqu’un de faible, mais de juste humain.
Plus rapide que l’ éclair
On vous conseille aussi ce thread de @fs0c131y toujours bon pour débusquer ce type d’arnaque en ligne et qui a été mis en ligne plus vite que notre post 🙂
<Thread>
1/ Ce matin, @ebothorel a signalé 2 sites qui surfent sur le #COVID19 pour arnaquer les gens sous couvert de vente de masques et de gel hydroalcoolique.
Suivez ce thread, nous allons retrouver les *** qui profitent de cette crise sanitaire pour escroquer les gens https://t.co/7xT522POUG
Cet article a été réalisé sur la base du travail de recherches en sources ouvertes des participants à la dernière formation généraliste OpenFacto fin juin 2019. Elle est le fruit des deux jours de formation et d’un travail collaboratif de groupe de fin de stage sur un sujet non résolu.
Le Hamas lance une campagne de levée de fonds bitcoin
Le 31 janvier 2019, les Brigades d’Al Qassam, la branche armée du Hamas considérée comme un groupe terroriste par les Etats-Unis, l’UE et d’autres pays, lancent une campagne de soutien de ses forces en bitcoin avec la promotion sur ses supports de communication de l’adresse suivante : 3PajPWymUexhewHPczmLQ8CMYatKAGNj3y.
Quelques visuels de la campagne de levée de fonds du Hamas
Le site donne à présent une adresse BTC unique aux sympathisants pour effectuer leurs transferts
Cette campagne est notamment étudiée en détail par plusieurs analystes OSINT comme Ghost Security Group qui analyse le circuit crypto en février 2019.
Analyse graphique par @RaijinRising de Ghost Security Group
Bellingcat en fera un tutorial sur la recherche sur les crypto-monnaies en utilisant le cas spécifique des Brigades Al Qassam en mars 2019.
Rebondir du Hamas à un MOOC: l’adresse bitcoin
En réalisant une simple recherche de l’adresse bitcoin des Brigades Al Qassam sur le moteur de recherche Google, on découvre parmi les résultats le site internet d’une école islamique en ligne : la Islamic Digital School/ Ahmed Yassine Institute. L’adresse BTC retrouvée sur le site pour faire des dons à l’école, semble être la même que celle utilisée par les Brigades Al Qassam, affiliée au Hamas.
Avec comme point de départ un site internet, on peut observer et rechercher plusieurs éléments afin de trouver de nouveaux indices pour rebondir et pivoter sur la suite.
On commence donc par observer la conception du site en se demandant si la qualité est au rendez-vous, si on comprend à quoi il sert, dans quelle langue il est écrit. On repère aussi les emails, les numéros de téléphone, les adresses physiques, les liens vers les réseaux sociaux et les images. Parfois en basculant sur une autre langue, le site peut s’avérer plus complet.
Dans notre cas, le site internet ressemble à une page de blog déroulante écrite en anglais et en arabe. La mission de l’Institut Ahmed Yassine – le chef spirituel du Hamas – est d’être la première école en ligne sur l’islam. L’école dispense un cursus de formation sur l’Islam avec la remise d’un diplôme.
site de l’Institut Ahmed Yassine
On peut ensuite prendre le nom de domaine/url « ahmedyassineinstitute.com » et faire une recherche whois et un traceroute en utilisant le site ping. Le WHOIS permet d’obtenir des informations sur le propriétaire du site et sur la société qui héberge le site. Les informations sont devenues de plus en plus rare depuis la loi sur le Règlement Général sur la Protection des Données personnelles (RGPD). Un traceroute permet de voir le chemin que prend un paquet de données pour aller de sa machine au serveur qui héberge le site en question.
WHOIS du site internet
Traceroute qui nous amène au Royaume Uni
Le domaine est enregistré par une société américaine depuis le 18 Septembre 2018 avec deux adresses IP localisées en Angleterre (188.241.39.12 et 188.241.39.10). En utilisant Exonerator, on constate que ces adresses ne sont a priori pas utilisées comme relai par TOR.
Ensuite il est crucial de rechercher des mentions du site ailleurs sur internet pour voir où il apparaît et si cela peut nous aider à rebondir sur d’autres éléments d’intérêt. Une recherche de l’URL avec le dork suivant intext: »ahmedyassineinstitute.com » sur les moteurs de recherche mène à une discussion sur Reddit et une page Facebook sous le nom de Islamic Digital School.
La conversation sur Reddit débat de la véracité du site internet et de la page Facebook indiquant qu’il pourrait s’agir d’une tentative de déstabilisation de la République Tchèque et de la Slovaquie par l’extrême droite ou les russes.
La page Facebook fait bien référence au site initial et se présente également comme une école sur l’islam en ligne. La page Facebook est postérieure au site et a été créée en octobre 2018.
Elle cible la population tchèque et slovaque car elle propose les cours dans la langue. La page est gérée par deux comptes facebook localisés en Angleterre. Il n’y a pas plus d’éléments exploitables à ce stade. Il est intéressant de noter que les statistiques du site internet sont très basses (le site n’est pas classé) tandis que le nombre de followers sur la page Facebook atteint + 5600.
Le code source de la page permet de regarder comment le site est construit. Sans être expert, il peut être utile de rechercher par exemple un tracker UA (Google-Analytics) qui est utilisé dans l’analyse de trafic du site par un webmaster pouvant déboucher sur d’autres sites administrés par la même personne. Dans notre cas, il n’y a rien.
L’étude des photos est aussi intéressante pour savoir s’il s’agit de photos de banques d’images ou des photos originales. Avec un reverse image ou en regardant le code, on peut vite se rendre compte de quoi il s’agit.
ici on peut voir que de photo (.jpg) proviennent d’un site ethnews.com et d’une banque d’images 123rf.com
En faisant un reverse image d’une autre photo, on voit qu’elle est très répandue en ligne
Enfin, il s’agit de regarder tous liens qui peuvent être tirés d’une adresse physique, d’un numéro de téléphone, d’un email pour continuer à pivoter vers de nouveaux éléments. Dans notre cas, on retrouve un email sur le nom de domaine – et un email personnel associé à un certain Zaki Qishawi. En basculant le site en langue arabe on peut aussi obtenir l’écriture exacte: زكي قيشاوي.
La même technique peut être utilisée pour pivoter par la suite sur ces emails :
1) recherche de la mention de l’email en ligne,
2) utilisation de cet email sur les réseaux sociaux
3) décomposer l’email en user name – ici zaky007 pour voir s’il apparaît quelque part
4) chercher en anglais et dans la langue d’origine les mentions du nom complet de la personne pour rebondir sur les réseaux sociaux, les réseaux professionnels et voir si des liens peuvent être tirés.
Ici et sans rentrer dans une recherche approfondie sur cette personne, le même email est utilisé en 2012 sur un forum par un individu avec un pseudo concordant cherchant à vendre des panneaux solaires.
Premières conclusions basées sur les éléments techniques d’un site internet
A partir d’un lien entre une adresse bitcoin attribué au Hamas et un nouveau site internet, on voit bien qu’en se concentrant uniquement sur ce site internet de façon méthodologique, nous pouvons tirer des informations qui permettent de rebondir:
site dont le thème principal est la formation en ligne sur l’islam et qui fait référence au guide spirituel du Hamas
site en langue arabe et anglaise de facture moyenne
site hébergé sur des serveurs au Royaume-Uni
site dont on discute dans le contexte de la Slovaquie et la République Tchèque dans lesquels les communautés musulmanes locales sont chahutées avec un fort sentiment anti-musulman en République Tchèque et des lois controversées en Slovaquie.
Page Facebook du site qui est administré par deux comptes localisés au Royaume Uni
Un email lié à une personne et un nom qui sont mentionnés sur internet et les réseaux sociaux.
On pourrait donc imaginer que l’étape suivante serait de se concentrer sur l’email et l’identité de l’individu mentionné sur le site, ainsi que sur la mention de cette initiative dans les géographies qui apparaissent dans la conversation Reddit.
Fondé en mai 2017 suite à l’occupation par des militants du GUD (Groupe Union Défense) d’un bâtiment inoccupé appartenant à la Mairie de Lyon, le Bastion Social a brièvement incarné le renouveau du militantisme d’extrême-droite en France. S’inspirant du modèle italien du mouvement Casapound, les militants français ont ainsi prôné la création de centres sociaux destinés à aider “les français les plus démunis” et l’application de la “préférence nationale”. Si le mouvement essaime alors rapidement et que des sections locales du Bastion Social sont successivement ouvertes à Strasbourg, Chambéry, Aix-en-Provence, Marseille et Clermont-Ferrand, ses membres ne perdent pas pour autant leurs vieilles habitudes et continuent de faire le coup de poing. Les affaires d’agressions, souvent à caractère raciste, se multiplient et entachent la communication lissée et l’image caritative que veut se donner le groupe. C’est officiellement pour cette raison que le Président Emmanuel Macron annonce la dissolution du mouvement en février 2019, à l’occasion du dîner annuel du Conseil représentatif des institutions juives de France (Crif). En réalité, comme l’a révélé Médiapart, c’est plutôt l’incitation du mouvement à créer un groupe organisé en vue des affrontements de l’acte III du mouvement des gilets jaunes le 1er décembre 2018 à Paris, qui en est la raison. Cette annonce, confirmée en conseil des ministres le 24 avril dernier, force le mouvement à fermer ses locaux, mais aussi ses multiples comptes sur les réseaux sociaux.
Pourtant, moins de six mois plus tard, ce sont donc deux nouveaux groupes qui font leur apparition sur les réseaux sociaux, “Vent d’Est” en Alsace et “Audace” à Lyon. Leurs logos partagent la même charte graphique et la communication à propos de maraudes et d’actions écologiques n’est pas sans rappeler celle du Bastion Social. Pour Vent d’Est, on constate que moins de 24h après sa première et unique publication, le groupe compte 805 abonnés sur Instagram contre seulement 85 sur Facebook et 13 sur Twitter. Si ce différentiel d’audience d’un réseau à l’autre pourrait être expliqué par la pratique courante d’achat d’abonnés, un rapide coup d’œil à la liste permet de s’assurer qu’il s’agit bien de véritables militants tant les références d’extrême-droite sont nombreuses: croix celtiques, fleurs de lys, 88 (pour “Heil Hitler”, H étant la 8ème lettre de l’alphabet) etc. Mais alors comment expliquer ce nombre important d’abonnés ?
Le “User ID” d’Instagram
Intéressons-nous au fonctionnement d’Instagram. Il faut comprendre que si le réseau social permet de modifier à tout moment son nom d’utilisateur (précédé par un @), chaque compte se voit attribuer à sa création un identifiant utilisateur unique et inaltérable, le “User ID”. Bien que celui-ci ne soit pas visible sur la plateforme, de nombreux sites internet permettent de le consulter gratuitement (comme ici). OpenFacto en parlait justement dans son dernier billet. Dans notre cas, il suffit donc d’entrer le nom d’utilisateur du compte de Vent d’Est “@vent.est” sur l’un de ces sites pour obtenir son User ID, le n°2840585800.
Les sites miroirs d’Instagram
Puisque l’on soupçonne Vent d’Est d’être lié au défunt Bastion Social, on s’intéresse aux comptes Instagram de cette organisation qui utilisaient comme nom d’utilisateur le modèle suivant: “@bastion_social_nomdelaville”. Si l’on n’en trouve aucune trace via l’outil de recherche de la plateforme elle-même, une recherche Google donne des résultats sur divers sites tels que “pictame.com”, “pikdo.net” ou bien encore “picgra.com”.
Il s’agit là de sites miroirs d’Instagram qui copient le contenu du réseau social et proposent généralement quelques statistiques d’audience. Si leur intérêt est limité pour un utilisateur lambda, leurs fonctionnalités de recherche sont généralement plus pratiques que celles d’Instagram. Surtout, on y retrouve bien souvent du contenu ayant été supprimé ou modifié sur la plateforme initiale.
Une recherche sur Google “bastion_social_strasbourg” donne donc ce résultat:
On apprend ici que le compte associé au nom d’utilisateur “@bastion_social_strasbourg” a auparavant été associé à celui “@gud.alsace”. Mais surtout, en cliquant sur ce lien, on arrive sur la page de Vent d’Est. Dans l’URL, on retrouve le User ID du compte “@vent.est” ainsi que le nom d’utilisateur “gud.alsace”.
On a donc ici la preuve qu’il s’agit du même compte, celui-ci ayant été successivement associé aux noms d’utilisateur “@gud.alsace”, “@bastion_social_strasbourg” et “@vent.est”.
Deuxième cas
En appliquant la même méthode pour le compte Instagram du groupe Audace, on trouve que son User ID est le n°2789465095.
On réitère la recherche Google, cette fois-ci avec le nom d’utilisateur “bastion_social_lyon” en filtrant pour obtenir uniquement les résultats sur le site pictame.com.
Dès le premier résultat, la réponse est claire: il s’agit bel et bien du même compte Instagram. En cliquant sur le lien, on tombe sur la page d’Audace et on retrouve encore une fois dans l’URL le User ID. Celui-ci a donc été associé successivement à “@gud.lyon”, “@bastion_social_lyon” et “@audace_lyon”.
Que s’est-il passé ?
Lors de la dissolution du Bastion Social, plutôt que de supprimer définitivement les multiples comptes Instagram de l’organisation, les militants ont en fait décidé de les vider de leurs contenus et de les mettre en sommeil sous des noms d’utilisateurs anodins. Ils pensaient ainsi avoir effacé leurs traces tout en conservant leurs centaines d’abonnés. En septembre dernier, alors que les mêmes militants créaient de nouvelles structures, ils ont recyclé ces comptes pour immédiatement bénéficier de leur audience. La parade aurait pu fonctionner, mais c’était sans compter sur les traces laissées par le User ID et les sites miroirs d’Instagram.
En conclusion, lorsque l’on s’intéresse à un compte Instagram, il est important de ne pas limiter ses recherches à la plateforme même. Outre le manque de fonctionnalités de l’outil de recherche, le site ne propose pas d’archives. A contrario, une recherche Google à l’aide de quelques googledorks permet de trouver les informations voulues. Enfin, il est toujours intéressant de comprendre le fonctionnement basique du réseau social étudié, l’existence du User ID permettant ici de s’assurer qu’il s’agit bien des mêmes comptes.
Sébastien est un jeune chercheur sur le militantisme radical et membre de la communauté OpenFacto.
L’amie @technisette a publié en juillet, sur le site Osint Curious, deux très bons billets sur les recherches possibles sur Instagram. Une des astuces données concernait l’affichage des informations d’un compte au format Json dans le navigateur, en utilisant directement l’API du site.
Certaines infos ne sont pas forcément visibles sur la page d’accueil du profil.
Toutefois, depuis plusieurs jours, le lien ci-dessus ne donne aucun résultat :
Comment retrouver simplement cette granularité d’information?
Vous avez dit « useragent« ?
Le useragent, c’est l’identifiant de votre navigateur. Il indique en général votre système d’exploitation (windows, mac, Linux, Android, iOS…), sa version, etc…
La bonne ou la mauvaise nouvelle (selon que l’on est un bon analyste ou un méchant pirate…), c’est qu’un useragent, cela se modifie (on dit en anglais que cela se spoofe) : soit directement dans les paramètres du navigateur, soit en utilisant une extension telle que User-Agent Switcher.
Si Instagram nous dit qu’il y a une erreur de type « useragent mismatch« , c’est que notre user-agent ne correspond pas à celui attendu par le site.
Et si on ajoutait cette référence à notre propre navigateur?!
Nous ouvrons dès lors l’extension User-Agent Switcher :
Et nous collons la référence Instagram 72.0.0.21.98 à la suite de notre chaîne de caractères correspondant à notre user-agent et nous validons an cliquant sur Apply :
Et voilà!!!
Il suffit de rafraîchir la page Instagram pour récupérer les informations du compte!
P.S. : Nous vous rappellons qu’il est possble d’obtenir le numéro d’identifiant utilisateur d’un compte en ajoutant /?__a=1 à la suite de son URL :
Si par construction Firefox présente d’emblée un niveau de sécurité intéressant, et prend de même soin de notre vie privée un peu mieux qu’un autre navigateur, il est toutefois possible d’affiner un peu plus encore ses réglages pour des recherches en Sources Ouvertes.
Il s’agit là de quelques conseils qui ne prétendent pas à l’exhaustivité mais qui permettent d’ajouter une petite couche supplémentaire à votre navigation.
Ce billet est le quatrième billet d’une série sur le navigateur Firefox.
Les profils utilisateurs ou comment séparer ses différentes activités…
La première règle essentielle de prudence et de sécurité à appliquer serait de séparer complètement ses activités de surf personnel et celles dédiées à l’OSINT. Or, l’expérience montre que c’est en fait une règle très difficile à respecter au quotidien. Tout le monde ne dispose pas d’un poste internet dédié à ce seul usage (idéal!), ou des ressources matérielles (ou des compétences techniques…) pour faire tourner une machine virtuelle (VM) dédiée aux Recherches en Sources Ouvertes.
Une solution intermédiaire consiste à créer des profils utilisateurs distincts dans Firefox, chaque profil disposant dès lors de ses propres réglages, ses propres extensions, et par incidence, ses propres cookies, historiques de navigation, etc…
Dans Firefox, tapez about:profiles dans la barre d’URL.
Depuis cette vue, vous pouvez dès lors créer un nouveau profil utilisateur.
Vous pouvez également démarrer Firefox avec l’option -P ou --ProfileManager pour créer et gérer ces nouveaux profils.
Un tutoriel très explicite est disponible sur le site de la Fondation Mozilla.
A titre d’exemple, voici une stratégie de profils qu’il est possible de mettre en place, sachant que Firefox est capable de lancer un navigateur par profil sans aucun problème :
Un profil pour votre surf personnel
Un profil orienté OSINT/réseaux sociaux, dans lequel vous ferez évoluer vos avatars, qui de cette façon ne contamineront pas votre navigation habituelle…
Un profil orienté technologie, cyber…
Évidemment, vous adapterez la situation à votre propre cas.
Paramétrage du DNS-over-HTTPS (DoH)
Un serveur DNS est un serveur qui, pour faire simple, se comporte comme un gros annuaire qui traduit une adresse de nom de domaine (ex : liberation.fr) en son adresse IP (85.118.46.182).
Un résolveur DNS est un cache, un relais, géré le plus souvent par votre fournisseur d’accès, et qui redistribue les données des serveurs DNS vers les utilisateurs. C’est un intermédiaire, un tampon.
A chaque fois que vous tapez une URL dans la barre d’URL et que vous validez, une requête au résolveur DNS est donc adressée pour faire cette correspondance (En réalité, pas tout à fait, les navigateurs ont un système de cache, mais je simplifie…).
Par défaut, Firefox effectue cette requête en clair. Vous comprenez donc qu’à ce stade, votre fournisseur peut donc savoir quels sont les sites internet que vous fréquentez. Pour assurer un peu plus de confidentialité à nos requêtes nous allons donc activer la fonctionnalité DNS-over-HTTPS (DoH) de Firefox, qui va noyer ses requêtes dans le trafic https de l’utilisateur, qui est lui chiffré.
Comment faire?
1ère étape : Dans le menu Firefox, choisissez Outils, puis Préférences. ou tapez about:preferences dans la barre URL et appuyez sur Entrée.
2ème étape : Dans la section Général (la section qui s’ouvre en premier), faites défiler vers le bas jusqu’au panneau Paramètres du réseau, puis appuyez sur le bouton Paramètres.
En bas de cet onglet, cochez la case « Activer le DNS via HTTPS« .
Par défaut, Mozilla envoie ces requêtes à CloudFlare (1.1.1.1), un serveur de DNS américain. C’est déjà pas mal, mais nous allons quant à nous utiliser ceux de Quad9 : https://dns.quad9.net/dns-query Cette organisation propose des résolveurs DNS libres d’accès, récursifs et ouverts. Ils permettent notamment un accès plus aisé à certains sites filtrés par les opérateurs…. Stéphane Bortzmeyer avait chroniqué Quad9 sur son blog en 2017.
Attention toutefois : Comme S. Bortzmeyer le signale, Quad9 est un résolveur DNS « menteur » ce qui signifie qu’il bloque certains domaines signalés pour activité malveillante (ex : distribution de virus, malware…). Donc si l’objet de vos recherches est précisément l’étude de ces activités, il vous faudra choisir un résolveur non-menteur.
Votre navigateur est désormais paré pour le DNS via HTTPS.
Vérifions tout de même ces réglages dans les paramètres de Firefox en tapant dans la barre d’URL about:config.
Une fois passé le bouton de confirmation un poil anxiogène suivant :
Nous allons vérifier deux valeurs de clefs de paramétrage :
network.trr.mode
La valeur de la clef devrait être à 2 et non à 0 comme par défaut, ce qui signifie que vous requêtes DNS vont passer en priorité par DoH.
network.trr.uri
Ici la valeur devrait être https://dns.quad9.net/dns-query
Paramétrage de l’Encrypted Server Name Indication (ESNI)
Puisque nous sommes dans l’antre du about:config, nous allons activer par ce biais une nouvelles fonctionnalité, l’ESNI. Elle permet de cacher à votre fournisseur d’accès, le nom même des sites que vous visitez.
Cherchez la valeur suivante : network.security.esni.enabled et passez la à true.
Cookies
Deux actions peuvent être menées sur les cookies, qui sont activés par défaut sur Firefox :
Activer le blocage des cookies tiers, qui sont pour l’essentiel des cookies utilisés pour vous pister durant votre activités sur le net.
Cliquez sur le bouton de menu paramètre et choisissez Blocage de contenu. Le panneau Vie privée et sécurité des Préférences de Firefox s’ouvre. C’est l’endroit où vous pouvez examiner vos paramètres pour le Blocage de contenu, parmi lesquels ceux des cookies.
Pour bloquer les cookies :
Sélectionnez Personnalisé et cochez la case Cookies.
Traqueurs tiers est le paramètre par défaut pour le blocage des cookies.
Supprimer les cookies à la fermeture de Firefox
Pour supprimer tous les cookies et les données de site à la fermeture de Firefox :
Cliquez sur le bouton de menu de Firefox et sélectionnez Préférences
Sélectionnez le panneau Vie privée et sécurité et allez à la rubrique Cookies et données de site.
Cochez la case Supprimer les cookies et les données des sites à la fermeture de Firefox.
À chaque fermeture de Firefox, les cookies enregistrés dans votre ordinateur sont supprimés.
Copier-Coller
Lorsque vous copiez/collez des données sur un site internet, celui-ci peut dans certains cas le détecter, vous empêcher de le faire ou substituer les données que vous essayez d’attraper…
Pour bloquer cela, allez dans le about:config, et cherchez la clef : dom.event.clipboardevents.enabled Passez la à False.
Quelques ressources complémentaires
Cet article avait pour but de vous présenter quelques réglages intéressants pour la vie privée et ayant peu ou pas d’impact sur votre navigation. D’autres réglages sont possibles. Bloquer le referrer, par exemple, sera sans doute très utile mais empêchera plusieurs sites de fonctionner…. Vous trouverez ci-après deux sites vous les listant :
Firefox Sync permet de synchroniser vos onglets, vos favoris, votre historique, les préférences, les mots de passe, formulaires pré-remplis, les extensions (c’est paramétrable). Les données sont envoyées chiffrées sur les serveurs de la fondation Mozilla.
Vous pouvez récupérer instantanément votre environnement préféré lors de vos vacances chez Mamie, sur sa machine, mais également en cas de perte de votre ordinateur ou panne système.
Notez la présence de la référence Instagram 72.0.0.21.98 dans le premier de la liste des user-agents référencés…
