Comment sécuriser Firefox avec quelques paramètres dans about:config ?

Il est essentiel de paramétrer finalement son navigateur afin de s’assurer un surf plus sécurisé. Je vais vous présenter les différentes options essentielles à modifier. Je n’aborderai pas l’usage de modules complémentaires (peut-être le sujet d’un prochain article).

Pour entrer dans la configuration avancée de Firefox, il suffit d’entrer dans la barre d’adresse about:config et de taper sur la touche d’entrée. Lisez bien l’alerte, puis validez (si vous êtes OK).

Firefox about:config

Puis vérifiez, les paramètres de security.tls.version afin que les valeurs soient celles-ci (min à 1 et max à 3):

security tls version firefox
security tls version firefox

 

Ensuite, modifiez :

  • geo.enabled à False afin de supprimer la géolocalisation
  • network.http.sendRefererHeader à 1 afin de ne communiquer que la dernière page visitée – Cela semble poser des problèmes (cf commentaires). Explication des valeurs de la variable network.http.sendRefererHeader :
    • 0 – never send the referring URL.
    • 1 – send only when links are clicked.
    • 2 – send for links and images (default).
  • browser.safebrowsing.malware.enabled à False et supprimez les données de browser.safebrowsing.provider.google.lists afin d’éviter que Google vous profile. (Je vous recommande de lire ce lien https://feeding.cloud.geek.nz/posts/how-safe-browsing-works-in-firefox/ expliquant le fonctionnement de cette option. Merci à Barmic pour la contribution)
  • offline-apps.allow_by_default à False et offline-apps.quota.warn à 0 afin que les données offline ne soient utilisées à votre insu

N’oubliez pas de modifier les préférences par défaut afin d’éviter d’être pisté et d’accepter les cookies tiers inutiles.

Vous pouvez tester votre navigateur en utilisant ces sites : https://panopticlick.eff.org et http://ghacks.net/ip/ (teste l’IP, le referer et le navigateur)

Je mettrai à jour cette page afin de tenir compte des évolutions de Firefox. N’hésitez pas à contribuer pour la sécurité de tous.

Historique de modifications de la page :

  • 22/08/2016 : changement de la valeur network.http.sendRefererHeader à 1 au lieu de 0, car cela bloque les réponses aux forums et empêche l’identification sur certains sites !
  • 24/08/2016 : ajoût du lien d’explication du fonctionnement de l’option browser.safebrowsing.malware.enabled – Contribution de Barmic
  • 01/09/2016 : suppression de la modification de network.http.sendRefererHeader (la valeur par défaut est à 2)
  • 02/09/2016 : ajoût du site ghacks pour tester son navigateur

18 Replies to “Comment sécuriser Firefox avec quelques paramètres dans about:config ?”

  1. Merci de votre post, qui va plus loin que ce que l’on trouve d’habitude.
    Je vais ajouter le lien dans mon article, si vous ne me l’interdisez pas (http://www.moncoinnumerique.fr/internet/pourquoi-eviter-la-pub/).

    Question : j’ai fait les manips sur mon navigateur, sauf celle concernant browser.safebrowsing.malware.enabled que vous proposez de mettre False : je ne comprends pas pourquoi, car je ne suppose pas que cela signifie que FF autorise les malwares…

    Cordialement.

    1. Cela interdit les requêtes vers les serveurs de Google afin de vérifier si l’url est dans la liste des malwares connus de Google. Cela peut permettre à google de te tracer.

  2. Bonjour Mathias,
    Merci pour cet article !

    Lorsque l’on cherche :
    services.sync.prefs.sync.browser.safebrowsing.malware.enabled
    On trouve aussi :
    services.sync.prefs.sync.browser.safebrowsing.malware.enabled
    Doit-on aussi intervenir sur cette valeur, quels sont vos conseils ?

    D’autre part lorsque vous dîtes « supprimez les données de »: browser.safebrowsing.provider.google.lists
    Pouvez-vous détailler la procédure pour des grands débutants (capture d’écran à une taille lisible par exemple ?) et en modifiant ces valeurs quel est l’impact sur la sécurité si l’on visite un site de phishing ou utilisant des malwares ? L’utilisation de WOT (préconisé par d’autres) est aussi la porte ouverte vers un autre service de tracking n’est-ce pas ?

    Cordialement
    ND

    1. Ces 2 variables me semblent identiques !
      Pour la seconde valeur, tu supprimes le contenu de la variable (double clic, sélection de tous les éléments, suppression et entrée)
      WOT ne m’a jamais vraiment convaincu de son utilité. En effet, il effectue une requête vers un serveur tiers afin de déterminer selon les votes des utilisateurs si le site web est clean ou non ! De mon point de vue, c’est à l’utilisateur de faire attention. Dans le cadre entreprise ou familiale, un bon proxy bien paramétré apporte un niveau de sécurité satisfaisant.

  3. Bonjour,
    Pour info le passage du paramètre network.http.sendRefererHeader à 0 provoque une erreur 500 lors de l’authentification à mon instance yunohost.

    Merci pour l’article.
    Bilm

    1. Bonjour,

      C’est étrange comme comportement. Je viens de rencontrer le même problème avec un site sous django. J’ai passé la valeur à 1, et le problème est résolu !
      C’est un peu chiant !

    2. Le paramètre « network.http.sendRefererHeader » est fixé à 2 par défaut.
      Pour se connecter à certains services en ligne (chez OVH par exemple), il ne faut pas y toucher (sinon on n’est chaque fois automatiquement déconnecté).
      Il serait peut-être plus sage d’indiquer sur cette page les paramètres initiaux des valeurs que tu proposes de changer, au cas où l’on ait besoin de revenir en arrière, mais c’est toi le Boss Mathias!

      1. S.V.P
        pourriez-vous nous affiché les paramètres  »initiaux » des valeurs que vous proposez de changer car j’ai de sérieux problème avec mon navigateur
        Merci

        1. Bonjour,

          On peut aisément revenir aux paramètres initiaux en cliquant sur « Réinitialiser » (accessible via le clic droit).

          Certains sites utilisent effectivement le referer pour se prémunir contre certains usages non souhaités. Pour cette raison, modifier network.http.sendRefererHeader peut être contraignant. Je n’ai par contre pas rencontrer de problème avec network.http.referer.spoofSource (cf. mon commentaire précédent).

    3. OVH pareil, j’ai pas fais le lien tout de suite. Idem pour Tweeter, si « network.http.sendRefererHeader » n’est pas à 2, impossible de Tweeter, d’envoyer des MP etc…

  4. « browser.safebrowsing.malware.enabled à False et supprimez les données de browser.safebrowsing.provider.google.lists afin d’éviter que Google vous profile »
    Bonjour, je ne suis pas sûr que Google ait accès à ces infos. Par exemple, pour ce qui est de contrer les sites web malveillants, sebsauvage énonce que « Firefox télécharge une liste qu’il consulte en local » [1]
    Il faudrait donc vérifier ce point à mon avis.

    [1] http://sebsauvage.net/links/?dQJPBg

    1. Il y a des requêtes qui partent vers les serveurs de Google. Après, on ne peut pas voir ce qu’elles contiennent. L’apport étant très faible, je préfère désactiver.

      1. Parler de sécurité et justement en désactiver c’est bizarre… https://feeding.cloud.geek.nz/posts/how-safe-browsing-works-in-firefox/
        Il est impossible d’être tracé via ce fonctionnement.
        Une note pour dire que tu prends tes responsabilités et qu’il ne s’agit pas d’une requête permettant le tracking (c’est la même requête quelque soit l’utilisation de ton navigateur) me paraît être un minimum puisque tu cherche à donner des solutions plus que de montrer ta configuration.

        1. Merci pour ton lien et l’explication fort intéressante. A la lecture de l’article, je ne suis pas convaincu à la fois de la performance de la solution (seule une partie des liens est téléchargée) et que les informations fournies à Google soit à même de protéger ma vie privé : cookie déposé par Google, analyse des urls … Par ailleurs, Mozilla se sent obligé d’ajouté une couche de sécurité, cela montre bien qu’ils ne se sentent pas en confiance.
          Ensuite, tu as raison en disant que c’est un choix personnel et que chacun prend ses responsabilités (comme l’usage de certains services privatifs …).
          Je préfère l’usage d’un antivirus sérieux intégrant ces protections.
          Merci pour le lien permettant à chacun de se faire une idée sur cette option. Je l’intègre au corps de l’article.

  5. Bonjour,
    Pour protéger un peu plus sa vie privée concernant network.http.sendRefererHeader, on peut également jouer avec la valeur de network.http.referer.spoofSource. Ce paramètre passé à true, le navigateur renseigne alors le referer avec l’URI du site à qui il adresse la requête.

Laisser un commentaire