Rendez-vous sur Arrakis

Iridium est plus sûr que Firefox

Ici, on ne parlera pas de rapidité comme on a pu en voir partout à la sortie de Firefox quantum, mais de sécurité.

Le contexte

Firefox, c'est le navigateur des libristes, qu'on ne présentera plus.

logo firefox

Chromium, c'est le navigateur open source derrière le navigateur Chrome de google. Une version plus sécurisée et dégooglisée de ce dernier existe, en étant 100% libre, et s'appelle Iridium.

logo iridium

Le problème

Voilà un article que je n'aurais jamais pensé écrire.

J'aime Firefox.

Je l'utilise et l'installe partout, tout simplement parce que je lui fait confiance pour : * Respecter ma vie privée * Faire les meilleurs choix pour rendre ma navigation plus sûre.

Il semble bien que point de vue sécurité, il ne soit pas la panacée.

C'est un sujet sur la liste de diffusion d'OpenBSD qui m'a interpellé. Il est intitulé chromium and firefox - myths and facts ?, ou autrement dit, est-ce vrai que chromium est plus sûr que Firefox?

Pensant lire des arguments en faveur de Firefox, je continue ma lecture et découvre que je me trompe.

Chromium a été conçu dès le départ pour séparer les privilèges. Dès les fondations, c'est un fait établi, le reste est construit dessus. Au contraire, ce concept a été ajouté par-dessus dans Firefox. Bien qu'on puisse espérer que cela soit fait correctement, c'est nettement moins certain.

Ce constat pousse même les développeurs d'OpenBSD à être très optimistes dans l'intégration de pledge et unveil pour chrome.

Conséquences

Sous OpenBSD, Firefox reste plus lent. Certes, ce n'est pas le sujet de l'article, mais c'est en fait un symptôme de ce que les développeurs d'OpenBSD doivent mettre en place par-dessus Firefox afin de le garder plus sûr. Par exemple :

Par ailleurs, lorsqu'on sait que Firefox intègre des appels à google (Google Safebrowsing), ça interroge… De plus, on voit régulièrement des choix étranges (Pocket…) qui questionnent sur les priorités des devs.

Solution

Il m'arrive fréquemment de regarder un ancien code et me dire : quel bordel, ça sera plus propre si je reprends à zéro. La solution que je préférerais serait la réécriture complète de Firefox en repartant sur de bonnes bases. Pour l'instant, ça donne l'impression d'un immeuble gigantesque sur lequel on rajoute des étages sans savoir très bien comment tiennent les fondations (j'exagère, oui).

Bien évidemment, c'est pas pour tout de suite.

En attendant, je vais plutôt faire confiance aux développeurs d'OpenBSD qui ne sont pas des mickeys en terme de sécurité.

Au lieu d'utiliser Chromium, je vais tester Iridium, une version dégooglisée et orientée sécurité dont vous pourrez trouver une description détaillée sur leur faq ainsi que les différences avec chromium.

À cela, j'ajoute quelques extensions : ublock, privacybadger, cvim, decentraleyes. En plus, Random User-Agent pour lequel je sélectionne uniquement Firefox au lieu de Chrome auquel j'ajoute iridium.

L'ironie

Un détail me fait sourire concernant mes propres àprioris concernant Chromium : À l'origine, Firefox, c'était Netscape, une société à but lucratif qui a publié leur navigateur pour utilisation commerciale. Chrome c'est un dérivé d'Apple Webkit, lui-même dérivé de KHTML, le moteur développé par l'équipe KDE sous licence LGPL.

Le mot de la fin

Mozilla reste un acteur majeur dans la protection de la vie privée et doit être soutenu dans ce sens. Cependant, bien que ce soit deux choses différentes, je pense qu'il est difficile d'assurer un respect total de la vie privée si la sécurité n'est pas certaine non plus. Je souhaite que les développeurs de Firefox puissent accentuer leurs efforts en ce sens et écrire un nouvel article d'ici quelques mois indiquant mon retour sous Firefox, parce que s'il y a une chose contre laquelle Chromium ne peut pas s'opposer, c'est la super classe d'un panda roux.