Fingerprint Defender sur Firefox : se fondre dans la masse

Quand mentir au navigateur vous rend plus visible

Les sites n'ont plus besoin de cookies pour vous reconnaître. En combinant des signaux techniques (canvas, audio, taille d'écran, polices, WebGL), ils construisent une empreinte numérique souvent stable d'une session à l'autre. L'initiative Cover Your Tracks de l'Electronic Frontier Foundation illustre bien ce mécanisme : plus votre navigateur paraît atypique, plus il se détache du lot.

La réponse la plus répandue consistait à tout falsifier : faux user-agent, faux GPU, fausse résolution. Problème : une configuration inventée peut devenir plus rare qu'une configuration réelle. Vous passez de « utilisateur lambda » à « profil impossible à croiser dans les bases de données publiques ».

C'est précisément le pari inverse de Fingerprint Defender, extension Firefox gratuite publiée par le studio britannique Digital Fracture (version 2.1.1 au moment de la rédaction). L'outil ne cherche pas à vous rendre invisible : il brouille les signaux utiles au recoupement entre sites, tout en laissant passer des valeurs communes qui vous rapprochent des autres internautes.

Ce que change une extension anti-empreinte moderne

Comment Fingerprint Defender traite chaque surface

La page officielle sur addons.mozilla.org distingue quatre familles de comportements. Cette granularité vaut le détour, car elle explique pourquoi certains tests en ligne affichent encore des valeurs stables.

Bruit (noise) : casser le recoupement

• Canvas : les pixels rendus varient légèrement, ce qui modifie l'empreinte calculée à partir de l'image.
• Audio : la sortie AudioContext (y compris le chemin temps réel) est randomisée par session et par domaine.
• Client rects : de minuscules variations sont injectées dans les mesures de position et de taille des éléments.

Sur un testeur comme Cover Your Tracks, les empreintes canvas et audio doivent changer après quelques rechargements. Si elles restent figées, l'extension ne fait pas son travail ou le site contourne la protection.

Blocage (block) : fermer les fuites évidentes

• WebRTC : limite les fuites d'IP liées aux connexions peer-to-peer. À désactiver temporairement si vous dépendez de visioconférences WebRTC natives.
• Battery : l'API Battery Status est bloquée. Firefox masque déjà largement cette surface aux sites, mais la couche extension reste utile sur les pages agressives.

Spoof : une valeur banale pour se fondre

• Écran : la résolution remontée est fixée à 1920×1080, choix assumé pour coller à la configuration la plus fréquente dans les statistiques grand public.

Pass-through : ne pas mentir là où le mensonge coûte cher

Digital Fracture laisse volontairement intacts :

• le WebGL / GPU réel (un faux GPU crée des combinaisons impossibles) ;
• le user-agent et la famille de navigateur ;
• le fuseau horaire (indispensable aux agendas et formulaires) ;
• la liste de polices (identique sur tous les sites visités, donc peu discriminante pour le recoupement).

Cette liste diffère des anciens « spoofers » qui modifiaient tout d'un coup. L'approche rejoint une idée défendue depuis longtemps par la recherche sur la vie privée : l'uniformité entre utilisateurs protège mieux que la dissimulation incohérente. Tor Browser pousse ce principe à l'extrême en normalisant l'ensemble du profil.

Ce que l'extension ne promet pas (et c'est sain)

La documentation Mozilla insiste sur des limites explicites. Les retenir évite les fausses attentes :

• Cookies et sessions connectées ne sont pas gérés ici. Activez la protection renforcée contre le pistage de Firefox si ce n'est pas déjà fait.
• L'adresse IP publique reste visible, hors fuite WebRTC. Seuls un VPN ou Tor changent ce registre.
• Un compte authentifié vous identifie, empreinte ou pas.
• Certains tests construisent un « hash audio matériel » à partir de paramètres fixes (taux d'échantillonnage, cœurs CPU). Il peut rester stable : ce n'est pas forcément un échec si la valeur est partagée par des milliers de machines.

Fingerprint Defender n'est pas un substitut à Tor. C'est une couche pragmatique pour un navigateur Firefox déjà configuré avec parcimonie.

Compléter avec les réglages natifs de Firefox

Mozilla durcit progressivement les défenses intégrées. La protection renforcée contre le pistage limite scripts et cookies tiers, tandis que des options avancées réduisent certaines surfaces d'empreinte sans extension.

Ordre de priorité pour un profil professionnel :

1. Mettre à jour Firefox (l'extension requiert Firefox 142+ selon la fiche Mozilla).
2. Passer la protection contre le pistage en Strict sur les sites non essentiels.
3. Installer Fingerprint Defender si vous consultez régulièrement des sites qui chargent des trackers invisibles.
4. Tester deux fois de suite sur Cover Your Tracks, puis vérifier vos outils métiers (SaaS, visio, banque en ligne).

Les développeurs web ont intérêt à tester leurs propres applications dans cette configuration : un canvas « bruité » peut révéler des hypothèses fragiles dans du code de fingerprint maison.

Vérifier que la protection fonctionne

Procédure simple, reproductible :

1. Installer l'extension depuis la boutique officielle Mozilla (éviter les builds tiers).
2. Ouvrir Cover Your Tracks ou un testeur reconnu (BrowserLeaks, Am I Unique).
3. Recharger la page deux à trois fois : les empreintes canvas et audio doivent varier.
4. Confirmer que WebGL, navigateur et fuseau horaire restent stables : c'est voulu.
5. Parcourir un site critique (messagerie, ERP, outil de déploiement) pour détecter d'éventuels effets de bord.

Côté gouvernance, l'extension est publiée sous licence MPL 2.0. Le code est reviewable via le package distribué sur Mozilla ; Digital Fracture indique ne collecter aucune donnée et ne pas établir de connexion externe. Il n'existe pas, en revanche, de dépôt Git public à ce jour : la transparence passe donc par l'audit du bundle store et la politique de permissions minimales.

Checklist avant de généraliser l'extension

• Valider la compatibilité avec vos outils WebRTC (visio, partage d'écran).
• Documenter la procédure de désactivation temporaire pour le support utilisateur.
• Croiser avec une politique MFA sur les comptes sensibles (l'empreinte ne remplace pas l'authentification forte).
• Former les équipes à distinguer confidentialité marketing et menace réelle sur les projets clients.
• Planifier un contrôle semestriel : les extensions évoluent vite (passage 2.0.0 → 2.1.1 en quelques mois).

Pour aller plus loin sur le blog

• Phishing en 2026 : protéger les accès métier
• Cyberattaques en 2026 : pourquoi la connexion devient plus dangereuse que le piratage pur
• Les passkeys en entreprise en 2026 : réduire le phishing sur les accès sensibles

Sources

• Mozilla Add-ons. Fingerprint Defender (fiche officielle, v2.1.1)
• Digital Fracture. Privacy-First Software (extensions navigateur)
• Digital Fracture. FAQ
• EFF. Cover Your Tracks
• Mozilla Support. Protection renforcée contre le pistage dans Firefox
• CNIL. Cookies et autres traceurs

Réduire son empreinte navigateur, ce n'est pas disparaître du web : c'est refuser le recoupement silencieux tout en gardant un Firefox utilisable au quotidien. Fingerprint Defender illustre une voie intermédiaire, documentée et testable, à condition d'en accepter les limites dès le départ.