Vie privée : le match des navigateurs iOS

Votre navigateur vous protège-t-il vraiment de la surveillance ?

Publié par Pixel de Tracking le 14 déc. 2020

Safari, l'inévitable navigateur iOS ?

Pour un navigateur tiers, il est difficile de concurrencer Apple Safari sur iOS :

  • À la différence d'Android, iOS ne permet pas aux navigateurs tiers d'utiliser leur propre moteur de rendu. Si l'on lit les "guidelines" de l'App Store, section 2.5.6 : "Apps that browse the web must use the appropriate WebKit framework and WebKit Javascript".
  • Apple a longtemps réservé l'usage de la dernière version de Webkit à Safari, les autres navigateurs étaient contraints d'utiliser une version périmée (basée sur la classe UIWebView), lente et instable.
  • Toujours en raison de l'obligation d'utiliser WebKit, iOS ne permet pas aux navigateurs tiers de proposer leur propre bibliothèque d'extensions. Sur Android, je peux installer des extensions Firefox comme uBlock Origin.
  • Les extensions de Safari telles que les bloqueurs de contenus ne sont pas accessibles aux autres navigateurs.
  • Avant iOS 14, il n'était pas possible de changer le navigateur par défaut.

En conséquence, il n'était pas très intéressant d'utiliser un autre navigateur. Néanmoins, Apple évolue progressivement. Depuis iOS 8, les navigateurs tiers peuvent correctement utiliser le dernier moteur de rendu de WebKit. Et depuis iOS 14, Apple permet de changer le navigateur par défaut. Les navigateurs tiers peuvent ainsi mieux concurrencer Safari, notamment sur la protection de votre vie privée.

Quel que soit votre navigateur, vous bénéficiez déjà de la protection WebKit

Les navigateurs tiers ont obligation d'utiliser le moteur de rendu d'Apple, WebKit. Cela se traduit techniquement par l'utilisation de la classe WKWebView. Hors depuis iOS 14, celle-ci inclut par défaut Intelligent Tracking Prevention, le mécanisme de protection de la vie privée d'Apple (préalablement uniquement disponible sur Safari).

chrome

Oui, Chrome sur iOS vous protège contre le suivi intersite, par défaut ! L'obligation d'utiliser WebKit force Google à mieux protéger votre vie privée.

Intelligent Tracking Prevention (ITP) contient de nombreux mécanismes permettant de lutter contre le "suivi intersite", on peut notamment citer :

  • Le blocage de tous les cookies tiers (prévu pour 2022 seulement sur Chrome).
  • La limitation de la durée de vie des cookies créés via du javascript (cookies 1st party, mais pouvant être créés par des tiers) à 7 jours.
  • La limitation de la durée de vie des cookies déposés via des domaines CNAME (là aussi, cookies 1st party, mais pouvant être déposés par des tiers) à 7 jours.

Les protections ITP ne se limitent pas aux cookies, pour une liste exhaustive lisez la page Cookie Status de Safari.

Si ces protections permettent de lutter contre le pire de la publicité (le suivi intersite), elles n'empêchent pas les sociétés marketing de mesurer chacune de vos interactions sur chaque site, ni de diffuser de la publicité. D'autres part, les sociétés marketing continuent de travailler à contourner les restrictions d'Apple (via du Server-Side Tagging, ou des identifiants de tiers déguisés en 1st party par exemple).

Si vous souhaitez être mieux protégé, quelles sont vos options ?

Le navigateur, un premier vecteur de surveillance

Avant même d'analyser les protections des navigateurs contre le pistage lors de votre surf, les navigateurs ont-ils mis en place leur propre système de surveillance ? Pour cela, je vais observer ce qu'il se passe lors du premier lancement du navigateur. À noter qu'une analyse similaire a déjà été effectuée par Brave récemment. Voici les étapes suivi :

  • Téléchargement du navigateur à tester.
  • Désactivation de NextDNS.
  • Fermeture des différentes applications en cours.
  • Lancement de Charles Proxy et activation du suivi.
  • Lancement du navigateur, puis recherche dans la barre d'adresse (pas de navigation privée).
  • Export de la session Charles sur mon ordinateur pour analyse.

Et voici un récapitulatif des différents navigateurs testés.

Safari, difficile à auditer de manière exhaustive

Safari est pré-installé donc je ne peux simuler un premier lancement. Il n'est pas impossible qu'Apple récupère des données de télémétrie de Safari si vous n'avez pas décoché les différents interrupteurs dans "Réglage" > "Confidentialité" > "Analyse et améliorations" :

apple

J'ai décoché les différents interrupteurs dans "Analyse et améliorations", aussi je n'ai pas vu de traceurs Apple spécifiques à Safari.

Lorsque vous faites une recherche, le moteur de recherche par défaut est Google. Celui-ci verserait 12 milliards de dollars à Apple par an pour être le moteur de recherche par défaut sur tous les appareils Apple. Safari envoie ainsi à Google chaque caractère entré dans la barre de recherche (sans identifiant), pour faire marcher l'auto-complétion.

iphone

Côté vie privée, Apple prend de très bonnes initiatives. Mais il permet à Google et son capitalisme de surveillance de prospérer, pour beaucoup d'argent.

DuckDuckGo, le bon élève

Le moteur de recherche américain (en grande partie basé sur Bing) a fait de la vie privée son cheval de bataille, il fait d'ailleurs partie des moteurs de recherche recommandés par PrivacyTools. Il propose également un navigateur pour iOS, et voici les requêtes envoyées lors du premier lancement :

duck

Lorsque l'on regarde dans le détail, c'est très propre : DuckDuckGo télécharge les bloqueurs de contenus. Lorsque vous tapez dans la barre d'adresse, il récupère les caractères pour de l'auto-complétion (avantage de fournir aussi un moteur de recherche), sans identifiant. La télémétrie est activée, mais là aussi sans identifiant.

Seule contrainte : le moteur de recherche par défaut (celui de la barre d'adresse) ne peut évidemment pas être changé. Mais si pour certaines requêtes vous n'êtes pas satisfait (rappel : derrière DuckDuckGo, c'est souvent Bing), vous pouvez utiliser les "bangs", des alias qui permettent de faire une recherche sur un autre moteur de recherche (Google évidemment, mais aussi YouTube, Wikipedia, Twitter, etc).

bang

DuckDuckGo ne manque pas d'humour, voici le message dédié lors de votre première recherche Google (en préfixant votre recherche par !g).

Également très apprécié, la facilité à effacer les données :

duckremove

Il vous suffit de cliquer sur la flamme pour effacer les données.

Brave vous protège... et fait tourner son business

Le navigateur Brave a été créé par Brendan Eich, ancien cofondateur de Firefox et créateur de Javascript. Brave a un discours fort contre les traceurs et autres publicités non respectueuses de la vie privée. Voici quelques points clés :

  • Brave se base sur Chromium (et son moteur de rendu Blink), la partie Open-Source de Google Chrome. Mais sur iOS, il ne peut pas utiliser Chromium, et se voir forcé d'utiliser WebKit.
  • Via Brave Shields, il bloque les traceurs et autres publicités qui vous pistent. Si vous l'acceptez, il diffuse des publicités respectueuses de la vie privée (servies en local, ce qui fait de Brave une régie publicitaire). Ce positionnement, en concurrence avec les éditeurs (Brave recrute les annonceurs), suscite des controverses.
  • Brave Rewards vous permet de payer les sites que vous consultez de diverses manières : via un abonnement mensuel (par exemple, 10€ partagés avec les sites consultés, selon votre temps passé sur ces sites), via des pourboires (micro paiements) ou via la publicité servie en local par Brave (pour laquelle vous pouvez également être payé). Brave Rewards est basé sur la propre crypto monnaie de Brave : le BAT (ou Basic Attention Token).

UPDATE 15 décembre 2020 : Brave a d'autres controverses à son actif (merci @kinux), et notamment :

Brave vous permet au premier lancement de choisir votre moteur de recherche par défaut (et permet à des moteurs de recherche respectueux de la vie privée tels que Qwant, DuckDuckGo ou Startpage de trouver de nouveaux utilisateurs) :

brave1

Je sélectionne ici Startpage, un moteur de recherche basé sur Google, mais respectueux de la vie privée.

Vérifions les requêtes avant de cliquer sur "Enregistrer" :

sudo

Certaines requêtes ne sont pas lisibles sur l'outil Charles et je n'ai donc pu vérifier si des identifiants fuitaient, néanmoins on peut noter l'appel à sudosecuritygroup.com. Il s'agit en fait de la société Guardian, qui s'est associé à Brave pour fournir un VPN qui bloque aussi les traceurs et les publicités. Vous pourrez activer le VPN dans Brave, mais il faudra payer.

Deuxième étape, Brave vous propose de bloquer les traceurs :

brave2

Évidemment j'accepte.

Troisième étape, Brave pense à sa propre régie publicitaire, et vous propose de visualiser des publicités "privées et anonymes" :

brave3

Je clique sur Ignorer, l'audit des publicités Brave sera pour une autre fois.

Quatrième étape, je lance une recherche. Brave me demande si je souhaite activer les suggestions de recherche :

brave4

Question appréciée, je refuse donc.

Regardons maintenant les requêtes envoyées (depuis le lancement de l'application) :

bravefinal

Si on regarde le détail, Brave n'a pas envoyé de requêtes supplémentaires depuis l'étape 1 excepté vers Startpage, appelé uniquement lorsque je valide ma requête de recherche.

Firefox, quelques mauvaises surprises

Firefox est mon navigateur sur Mac. À la différence d'un Brave, Firefox a son propre moteur de rendu, Gecko. Mais lui aussi se voit contraint d'utiliser WebKit. Je m'attendais à ce que Firefox pour iOS ait une attitude irréprochable sur la vie privée car Firefox ayant une belle réputation et communiquant avantageusement. J'ai été surpris :

firefox

Dès la première ouverture, Firefox fuite mes données personnelles à Leanplum, une société marketing permettant d'afficher des messages ciblés. Leanplum est gourmand, il collecte notamment le deviceId, userId et uuid. Il récupère aussi mes principales interactions avec Firefox.

Firefox se permet également de collecter mes principales interactions (comme l'ouverture de l'application, sa fermeture, le clic sur la barre d'adresse) en direct (via incoming.telemetry.mozilla.org), avec l'identifiant clientId.

Pour les appels à Google, pas de surprise, il s'agit du moteur de recherche par défaut sur Firefox. Google représente la principale source de revenus pour Firefox, avec environ 450 millions de dollars par an. Chaque caractère entré dans la barre de recherche est envoyé à Google pour l'auto-complétion (sans identifiant).

Est-il possible de désactiver la fuite des données personnelles vers Leanplum ainsi que la télémétrie ? Oui, en décochant la bonne option dans les paramètres :

params2

Je décoche "Envoyer des données d'utilisation"

On se serait attendu à de l'opt-in de la part de Firefox, et sans fuite de données personnelles vers une société marketing.

Chrome, le navigateur vorace de Google

Si vous utilisez Chrome pour iOS, vous n'avez à priori pas d'attente particulière concernant le respect de votre vie privée. Nous avions par exemple pu voir que Chrome envoie un en-tête HTTP unique à tous les domaines Google et Doubleclick, pratique pour vous pister. Lisez aussi "Why I'm done with Chrome", écrit il y a déjà 2 ans.

Dès l'ouverture de Chrome donc, Google vous informe que vous devez accepter les conditions d'utilisation. Premier problème, l'envoi de statistiques d'utilisation et des rapports d'erreur est coché par défaut :

chrome1

Je décoche donc l'envoi de statistiques d'utilisation et des rapports d'erreur.

Si je regarde les requêtes passer avant le clic sur "Accepter et continuer", je vois que Chrome appelle déjà beaucoup de sites : pas d'inquiétude, il s'agit en fait de charger les images pour les signets par défaut (j'imagine les sites les plus consultés de France). Chrome récupère aussi des identifiants tels que le userid.

chrome1stscreen

Deuxième étape, Chrome se montre ici très gourmand : il vous demande de synchroniser toute ma navigation avec mon compte Google. Une captation énorme de vos données personnelles donc, que Google enrobe en vous faisant miroiter de pouvoir synchroniser aussi vos mots de passe sur vos différents appareils "et plus encore".

chrome2

Je clique donc sur "Non, merci".

Si vous souhaitez sélectionner les éléments à synchroniser, le texte "paramètres" en bleu pourrait vous faire croire que vous avez déjà la main, mais il n'est pas cliquable. Notez encore le bouton bleu "J'accepte", très naturel. Comparé à "Non, merci" en noir : un bel exemple de "Dark Pattern".

Troisième étape, Chrome continue sur sa lancée et me demande d'accéder à ma position exacte (pour "Améliorer mon expérience") !

chrome3

Je clique sur "Ne pas autoriser"

Notez qu'avec iOS, je ne peux maintenant autoriser les accès qu'une seule fois (Chrome devra alors me redemander au lancement suivant), je peux également désactiver "Position exacte". Ces options peuvent être utiles pour vous protéger de certaines applications.

Dernière étape, Chrome est déjà lancé mais je fais une recherche, sur Google évidemment, pour tomber sur un bandeau de consentement venant d'être retoquée par la CNIL :

Le nouveau bandeau d’information mis en œuvre par les sociétés lors de l’arrivée sur la page google.fr ne permettait toujours pas aux utilisateurs résidant en France de comprendre les finalités pour lesquelles les cookies sont utilisés et ne les informait pas du fait qu’ils pouvaient refuser ces cookies.

chrome4

Et en effet, bon courage pour refuser les cookies, vous pouvez vous perdre dans les menus sans trouver l'option, ni même être sûr que l'option choisie permet bien de refuser les cookies (je ne détaille pas, cela mériterait un article dédié).

Ici vous pourriez vous dire : je n'ai pas encore cliqué sur "J'accepte", Google n'a pas dû déposer de cookies. D'autant que si on lit la dernière sanction de la CNIL à l'encontre de Google (daté du 10 décembre 2020), celui-ci se permettait de le faire mais il a corrigé le tir :

La formation restreinte a pris acte que, depuis une mise à jour de septembre 2020, les sociétés cessent de déposer automatiquement les cookies publicitaires dès l’arrivée de l’utilisateur sur la page google.fr.

Regardons néanmoins les requêtes envoyées (depuis l'étape 2) :

chromecookies

Parmi les nombreuses requêtes envoyées aux différents services de Google, on peut noter les requêtes à adservice.google.com et à doubleclick.net. La requête à adservice.google.com contient bien le cookie NID. À quoi sert ce cookie ? Selon les propres mots de Google :

Nous utilisons des cookies, tels que "NID" et "SID", pour personnaliser les annonces sur les sites Google, tels que la recherche Google. Ils nous servent, par exemple, à mémoriser vos recherches les plus récentes, vos interactions précédentes avec les résultats de recherche ou les annonces d'un annonceur, ainsi que vos visites sur le site Web d'un annonceur. Cela nous permet de vous présenter des annonces personnalisées sur Google.

La CNIL parle-t-elle du cookie NID dans sa délibération ?

La formation restreinte relève que la société GIL a indiqué dans son courrier du 30 avril 2020 que quatre des sept cookies déposés, soit les cookies NID , IDE , ANID et 1P_JAR , poursuivent une finalité publicitaire.

Ainsi, en contradiction avec la délibération de la CNIL, Google n'a pas arrêté de déposer automatiquement certains cookies publicitaires sur la page google.fr.

Edge fait encore pire que Chrome

La réputation des navigateurs Microsoft n'est plus à faire :

IE

Via compte parodique Twitter @intrnetexp.

Seulement voilà, fini les moqueries sur le retard d'Internet Explorer, Microsoft se base maintenant sur Chromium et son moteur de rendu Blink pour son navigateur Edge (tout comme Brave, Opera ou Vivaldi), il investit pour le rendre compétitif. Pour Edge aussi, pas de Chromium sur iOS à cause des restrictions Apple, et donc l'utilisation forcée de WebKit. Qu'en est-il du respect de votre vie privée ?

Le premier lancement de Edge ressemble beaucoup à Chrome, ce qui n'est pas bon signe. Edge vous suggère de vous connecter pour activer la synchronisation : favoris, mots de passe et "bien plus encore".

edge1

Je clique sur "Ignorer" (notez le Dark Pattern).

Si l'on regarde les requêtes envoyées avant clic sur "Ignorer", Edge est déjà gourmand :

init

Via plusieurs requêtes, Edge récupère plusieurs identifiants tels que deviceId ou clientId. Notez notamment le domaine vortex.data.microsoft.com, si bien nommé. À chaque interaction avec Edge, celui-ci va collecter de la donnée, et cette fuite est impossible à désactiver.

Comme Firefox, Edge fuite aussi vos données personnelles vers un tiers, Adjust, société spécialisée dans la mesure mobile et l'attribution. Adjust récupère des identifiants tels que persistent_ios_uuid.

Deuxième étape, Edge est toujours aussi gourmand que Chrome, il cherche à enregistrer mon historique de navigation :

edge2

Je clique sur "Pas maintenant".

Troisième étape, on comprend pas tout à fait la différence avec l'étape précédente ("En savoir plus" redirige toujours vers la page "Historique d'activités Windows 10 et confidentialité"), Edge insiste en vous demandant des données sur "la façon dont vous utilisez le navigateur" :

edge3

Je clique encore sur "Pas maintenant".

Quatrième étape, je fais une recherche (sur Bing évidemment), notez le bandeau de consentement :

edge6

Vérifions les requêtes (je n'ai pas encore interagi avec le bandeau de consentement) :

pagesjaunes

Les services Microsoft sont omniprésents, tous récupèrent vos données personnelles. Leboncoin est appelé mais simplement pour télécharger le logo. Edge ne fuite pas seulement vos données personnelles vers Adjust mais aussi vers Comscore (via scorecardresearch.com), géant du marketing qui peut ainsi mieux vous profiler.

Bonus : Bing fuite vos recherches au site Pages Jaunes

À cause de Bing (et non de Edge), j'ai été surpris (et alarmé) de voir que celui-ci fuite une donnée potentiellement sensible, ma requête, directement à Pages Jaunes (via pagesjaunes.fr) :

jaunes

Heureusement ma recherche "bonjour" n'était pas sensible, mais Bing fuite l'intégralité de vos recherches au site Pages Jaunes (ainsi que votre ville), en temps réel, quelque soit l'appareil et le navigateur utilisé.

La régie publicitaire de Pages Jaunes s'appelle Solocal. Il s'agit d'un partenariat ancien, ayant surement été reconduit, sur le dos de votre vie privée (rappel, je n'ai toujours pas interagi avec le bandeau de consentement, ma recherche Bing a fuité vers le site Pages Jaunes).

Cadeau supplémentaire de Bing et Pages Jaunes, le domaine at.pagesjaunes.fr (qui dépose un cookie sans votre consentement) est un alias CNAME vers l'outils d'analytics français AT Internet :

at

Comme on a déjà pu le voir avec Criteo, Boursorama ou Lemonde.fr, ces alias CNAME ont pour but de contourner les protections navigateurs et adblockers, ils sont également souvent à l'origine d'une faille de sécurité importante.

Cliquer sur "Plus d'options" pour ensuite désactiver les cookies "non essentiels" empêche-t-il de fuiter vos requêtes vers les pages jaunes et vos données de surf vers AT Internet ?

edge6

Le bandeau de consentement sans option de premier niveau pour tout refuser, un classique.

Malheureusement non, cela ne change strictement rien au comportement de Bing : celui-ci fuite toujours mes recherches au site Pages Jaunes.

Il manquait une information clé pour Microsoft : ma géolocalisation ! Et en effet, sans que je continue ma navigation, Edge me demande maintenant l'accès à ma position :

edgeloc

Conclusion : difficile à croire, mais via Edge et Bing, Microsoft réussit le tour de force d'être pire que Google sur le respect de votre vie privée.

Le navigateur comme protection contre la surveillance des sites

S'ils respectent eux-même plus ou moins bien votre vie privée, les navigateurs sont aussi censés vous protéger lorsque vous surfez sur le web. Regardons si c'est vraiment le cas, via une navigation sur deux sites connus pour fuiter massivement vos données personnelles :

Le protocole sera le même pour tous les navigateurs :

  • Suppression des cookies et autres données navigateur.
  • Désactivation de NextDNS.
  • Fermeture des différentes applications en cours.
  • Lancement de Charles Proxy et activation du suivi.
  • Lancement du navigateur à tester, pas de navigation privée.
  • Surf sur la page d'accueil de ces 2 sites, avec acceptation du pistage via la bannière de consentement.

Le comparatif ne peut être parfait car il ne s'agit que de 2 pages d'accueil, et d'un moment sur l'autre, les publicités servies peuvent être différentes. Mais le nombre de traceurs devrait nous donner une bonne idée de l'efficacité du navigateur.

Safari sans bloqueur de contenu, tout passe

Le cas nominal, j'ai désactivé mon bloqueur de contenu, Firefox Focus. Voici les résultats condensés :

  • 94 hôtes contactés.
  • 338 requêtes.
  • 9,2 Mo de données téléchargées.

Inutile de dire que le nombre de traceurs est impressionnant, même si Intelligent Tracking Prevention limite la casse en stoppant le pistage intersite.

Safari avec bloqueur de contenu, des trous importants dans la raquette

Ici j'ai utilisé Firefox Focus (dont la liste de traceurs est fournie par Disconnect), vous pouvez aussi sélectionner d'autres bloqueurs de contenus comme Adguard. Les résultats sont-ils meilleurs ? Sensiblement :

  • 45 hôtes contactés (ce qui signifie 49 traceurs en moins).
  • 200 requêtes.
  • 6.2 Mo de données téléchargées.

Est-ce à dire que le bloqueur de contenu vous a complètement protégé ? Lorsque l'on regarde dans le détail, de nombreux tiers continuent de vous pister, même si les traceurs les plus "évidents" ont disparu :

focus

J'ai supprimé les requêtes 1st party pour y voir plus clair.

DuckDuckGo, une protection améliorée

DuckDuckGo utilise sa propre liste de traceurs, "Tracker Radar", généré par son propre crawl du web. Les informations de "Tracker Radar" sur les différents traceurs peuvent également être utilisés par des tiers (comme dans Safari, pour donner de l'information sur ces traceurs). Voici les résultats :

  • 39 hôtes contactés.
  • 226 requêtes.
  • 6,3 Mo de données téléchargées.

Ces statistiques semblent proches de Safari avec bloqueur de contenus, si l'on regarde maintenant le détail :

duckliste

La liste des traceurs est moins longue, DuckDuckGo est un peu plus efficace que Safari combiné à Firefox Focus.

Brave, une protection forte

Brave Shields, le système de blocage des traceurs, permet d'être très souple :

  • Les paramètres par défaut vous protègent bien.
  • Vous pouvez changer les paramètres par défaut.
  • Vous pouvez aussi changer les paramètres pour des sites spécifiques.

Voici donc les paramètres par défaut :

bravesetup

Vous pouvez décider de bloquer les scripts, tous les cookies et les empreintes numériques. Mais d'expérience, certains sites ne marcheront plus correctement. Voici donc les résultats avec les paramètres par défaut :

  • 29 hôtes contactés.
  • 168 requêtes.
  • 5,4 Mo de données téléchargées.

Brave est donc le plus efficace. Si l'on regarde dans le détail :

braveliste

C'est presque parfait (Brave protège par exemple contre le CNAME cloaking d'AT Internet sur le site lemonde.fr, via le domaine buf.lemonde.fr), mais Brave rate notamment Facebook et Twitter.

Firefox vous protège relativement mal par défaut

Si Firefox est une très bonne option sur mon Mac, il a une sévère limitation sur iOS : comme avec tous les autres navigateurs iOS, on ne peut pas installer d'extensions. Et Firefox sans extension vous protège malheureusement beaucoup moins bien. Voici les résultats avec les paramètres par défaut :

  • 111 hôtes contactés.
  • 454 requêtes.
  • 11,9 Mo de données téléchargées.

Vous êtes donc largement pisté. Dans les faits, tout n'est pas noir, si vous allez dans les paramètres :

ff1

Cliquez dans la section "vie privée" sur "Protection contre le pistage"

Vous pouvez vous rendre compte que par défaut, Firefox applique la "Protection renforcée contre le pistage" (ETP pour "Enhanced Tracking Protection") en version "Standard" :

ff2

En cliquant sur le "i", vous pourrez apprendre que Firefox vous protège contre les traqueurs de réseaux sociaux (en effet, Facebook et Twitter ont été bloqués), contre les traqueurs intersites (rien de nouveau ici, vous l'êtes déjà via ITP), contre les mineurs de crypto monnaie et contre les détecteurs d'empreinte numérique (technique couramment appelée "fingerprinting").

ff3

Si vous activez la protection "Strict", Firefox vous protègera aussi contre le "Contenu utilisé pour le pistage" (protection qui nous intéresse tout particulièrement) :

ff4

Êtes-vous mieux protégé ? Voici les nouveaux résultats :

  • 42 hôtes contactés.
  • 225 requêtes.
  • 6,7 Mo de données téléchargées.

Les résultats sont donc bien meilleurs. Si l'on regarde le détail :

ffstrict

On retrouve les mêmes traceurs qu'avec l'option Safari et Firefox Focus : les 2 applications de Mozilla se servent d'une liste fournie par Disconnect pour bloquer certains traceurs.

Chrome, le navigateur sans protection

Avec Chrome c'est très simple, vous n'avez aucune protection par défaut, ni aucun réglage vous permettant de vous protéger. Chrome ne reste pas totalement inactif, les équipent travaillent sur le projet Privacy Sandbox, avec pour mission :

The Privacy Sandbox project’s mission is to “Create a thriving web ecosystem that is respectful of users and private by default.”

Dans le détail, "a thriving web ecosystem" signifie supporter les cas d'usages actuels de la publicité : mesure de conversion, publicité comportementale, retargeting, etc. "Private by default" signifie de ne plus permettre aux traceurs de pister individuellement les utilisateurs (Chrome bloquera les cookies tiers en 2022).

La mesure et le ciblage se feront via des "cohortes" d'utilisateurs (groupes suffisamment grands), via des décisions prises directement par le navigateur, via des mécanismes pour empêcher le croisement des données, etc.

Évidemment Google est moins concerné par les modifications de Chrome qu'un site web lambda : il continuera de pister la grande majorité des utilisateurs via leurs comptes Google.

Voici donc les résultats du surf sur Chrome :

  • 100 hôtes contactés.
  • 370 requêtes.
  • 11,3 Mo de données téléchargées.

Pas de surprise donc, vous n'êtes pas du tout protégé.

Edge, des protections bien cachées

Edge était bon dernier lors du premier lancement du navigateur. Qu'en est-il des protections lors de votre surf ? Si l'on regarde les résultats avec la configuration par défaut :

  • 96 hôtes contactés.
  • 368 requêtes.
  • 10,2 Mo de données téléchargées.

Edge est comparable à Chrome, ce qui n'est pas un compliment. Mais Edge dispose d'options cachées intéressantes. Si vous allez dans "Paramètres", à "Bloqueurs de contenus", vous pouvez découvrir une intégration "native" du bloqueur Adblock Plus :

edgeadblock

J'active donc "Bloquer les publicités"

Oui Edge a intégré Adblock Plus dans son navigateur. Seulement, Adblock Plus est aussi une société publicitaire, qui se fait payer de grosses sommes par des géants du marketing (dont Microsoft, mais aussi Google, Amazon, Criteo, Taboola ou Outbrain) pour laisser passer certaines publicités, une belle hypocrisie. Il vous faut donc aller plus loin pour bloquer toutes les publicités, à savoir aller dans les "Paramètres avancés" de "Bloqueurs de contenu" :

edgeacceptable

Je désactive "Publicités acceptables".

Mais vous n'êtes pas au bout de vos peines ! Une autre option est utile, elle se trouve dans "Paramètres", "Confidentialité et sécurité", et vous trouverez dans la section Sécurité (!), la rubrique "Prévention du suivi" (apparemment déjà "Activé") :

suiviedge

Ici il faut cliquer sur "Prévention du suivi".

Vous accédez alors à un nouvel écran :

prevention

La version "Équilibré (recommandé)" est sélectionnée par défaut. Ainsi Edge bloquerait déjà "les dispositifs de suivi des sites que vous n'avez pas visités", ainsi que "les dispositifs de suivi malveillants connus". Dans les faits, on se demande ce que Edge bloque vraiment, tous les traceurs sont conviés à la fête (Criteo, Google, Doubleclick, Weborama, Facebook, Amazon, etc).

Microsoft indique se baser sur Disconnect pour bloquer les traceurs, dès la version "Équilibré" de "Tracking Prevention", il semble que cela soit un effet d'annonce (Firefox se base aussi sur Disconnect, mais bloque bien de nombreux traceurs).

Est-ce que le passage en "Prévention du suivi Strict", l'activation d'Adblock Plus et la désactivation des "Publicités acceptables" vous permet d'être protégé contre tous les traceurs ? Vu l'effort engagé, on aimerait bien. Voici les résultats :

  • 41 hôtes contactés.
  • 200 requêtes.
  • 6,8 Mo de données téléchargées.

Edge se hisse au niveau d'un Safari avec Firefox Focus (ce qui est la moindre des choses avec Adblock Plus activé et Disconnect). Si on regarde maintenant dans le détail :

edgeliste

On voit bien que Edge a encore des progrès à faire.

NextDNS, en renfort du navigateur

Pour conclure, le choix du navigateur est personnel, mais certains navigateurs iOS apportent un bon premier niveau de protection : je pense notamment à DuckDuckGo. NextDNS pouvant être utilisé en complément.

J'ai l'habitude d'utiliser le combo Safari - Firefox Focus (bien que DuckDuckGo et Brave soient tentants), NextDNS permet de bloquer les traceurs qui sont passés à travers les mailles du filet. Voici le résultat sur le même test combiné LeBonCoin et Lemonde.fr :

nextdns

Les traceurs qui n'ont pas pu être bloqués par le combo Safari - Firefox Focus ont été bloqués par NextDNS.

Bref, le choix de votre navigateur et d'éventuelles protections supplémentaires peut faire une grande difféence !