-

Vous avez dit bloqueur de pub ?


janv. 28 2018

Disclaimer : cet article a été écrit en 4 heures, s'il y a des trucs bizarres, n'hésitez pas à me le dire :)

Hier, j'ai eu un petit échange d'opinions très divergentes sur le choix d'un bloqueur de pub et de traqueurs. La personne soutenait que Adguard, je cite, « explose uBlock ». Déjà, ça me met la puce à l'oreille. Moi qui m'intéresse de près à la vie privée, il existerait un module meilleur que uBlock Origin, dont je n'ai jamais entendu parler ? Étrange… Et la personne me dit « Va te renseigner avant de raconter de la merde ». faisons ça. Je file me renseigner sur le site de l'éditeur.

Qui est Adguard ?

Achète

Achète

Achète, achète, achète une licence. Hum, ça commence bien. On veut me vendre une solution de sécurité, ça pue très très fort. Alors oui, l'extension pour navigateurs est gratuite, mais c'est une entreprise derrière, qui doit donc gagner de l'argent. Et on sait comment ça marche pour gagner de l'argent avec le web… Je fouille un peu. Il y a une hotline (pour un bloqueur de pub ???), il y a des boutons « Acheter » partout. Il y a du bullshit marketing qui traîne un peu partout. Bon.

Voyons voir les partenaires. Adguard utilise l'API de Safe Browsing (navigation sûre) de... Yandex, le « Google russe » contrôlé par le gouvernement. Ah oui, j'ai très confiance dans cette « navigation sûre » (autant que dans celle proposée par Chrome, je vous rassure). Beaucoup d'entreprises russes. Ils sont donc russes, je suppose. Voyons voir le « À propos »

À propos

Ah, ils sont basés à Chypre, comme c'est pratique pour pratiquer l'optimisation fiscale et le financement… flou. J'ai déjà dit que ça puait ?

Ah mais, que vois-je, ils sont « EFF Partners » ? Voilà qui est intéressant. L'EFF, « la Quadrature du Net américaine » pour celles et ceux qui ne sauraient pas (mais en un peu plus gros) est une référence. Si l'EFF leur fait confiance, ma foi, je veux bien leur donner une chance… On voit qu'Adguard est devenu en 2017 un « membre organisationnel ». Très impressionnant. Suivons le lien. Hum, une copie du site de l'EFF, mais on est toujours chez Adguard. Allez, on va dire que c'est « un hommage ». Blablabla, ça présente l'EFF, les « valeurs », toussa. Et soudain :

EFF

Continuons sur le lien de ce paragraphe… Ah. Déception. En fait, Adguard a juste filé assez de pognon pour apparaître sur la page des donateurs. Et c'est tout. L'EFF le précise d'ailleurs très bien :

EFF

Je traduis pour celles et ceux qui ne lisent pas l'anglais : « L'EFF ne soutient pas les entreprises privées ou leurs produits », même s'ils sont reconnaissants pour les dons. En gros, Google pourrait filer de l'argent à l'EFF, il apparairait sur cette page. Je vous ai parlé de bullshit marketing plus haut, non ? On en a ici un parfait exemple. Adguard essaie de s'acheter une crédibilité en se faisant passer pour un partenaire de l'EFF, alors qu'ils font juste des dons comme tant d'autres structures.

Bref. En finissant d'écrire ce paragraphe, j'ai vérifié un truc avec mon uBlock Origin. Je vous laisse rire avec moi :

Analytics

Du Google Analytics sur le site d'un logiciel orienté vie privée, c'est croustillant. Mais passons. Voyons voir ce que vaut cette extension en pratique. On sait jamais.

Le comparatif

Mise en place

Histoire que mon test soit répétable et vérifiable (conditions obligatoires pour toute expérience se voulant un minimum sérieuse), je partage avec vous ma méthodologie.

Je compare les deux extensions sur un profil vierge (pour éviter toute interférence d'un autre module) sur mon Firefox 57.0.4, sous Linux Mint. Je passe de l'un à l'autre en switchant de profil, en relançant Firefox avec la commande « firefox -p », qui me permet de choisir le profil à charger. J'ai donc un profil « Test uBlock » et un profil « Test Adguard ».

J'utilise Firefox parce que c'est mon navigateur habituel, et parce qu'une autre extension, que j'installe sur les deux profils, me permet de visualiser les liens qui sont faits entre le site visité et les sites tiers. Elle s'appelle Lightbeam. Pour les deux extensions, je ne touche à rien aux réglages par défaut, sauf indication contraire à la fin. Ça permet de se donner une idée sur le niveau de protection des extensions pour le grand public.

Les extensions sont testées avec deux sites réputés pour être bourrés de traqueurs : LeMonde.fr et LeParisien.fr. J'utilise les deux en démonstration pendant mes ateliers vie privée (organisés au Shadok à Strasbourg par ARN, petite pub)

Commençons.

Présentation

Un petit mot des extensions : - uBlock Origin : développé depuis juillet 2015. Entièrement libre et open-source. - Adguard : développé a priori depuis 2008. Le module est open-source, les autres applicatifs non.

J'installe d'abord Lightbeam pour savoir d'où on part. Et je teste nos deux sites

Le Monde sous Lightbeam Le Monde

Le Parisien sous Lightbeam Le Parisien

Les deux sous Lightbeam Les deux ensemble

Les bulles centrales, ce sont les sites du Monde et du Parisien. Les triangles sont les sites tiers qui exécutent du code sur les pages de nos deux sites. Flippant non ? De plus, Le Parisien, comme beaucoup d'autres sites du genre, a un « auto-refresh », qui raffraichit la page régulièrement, pour afficher davatange de pubs. Ce qui augmente le nombre de liens externes. On est ici à plus d'une centaine de tiers connectés. Accessoirement, aucun de nos deux sites ne propose de HTTPS par défaut…

uBlock Origin

On l'installe depuis le magasin d'extensions de Firefox. Je rappelle que je ne touche à aucun paramètre. Test avec Lightbeam (on gagne du temps, je ne mets que les deux ensemble) :

Le Monde et le Parisien sous Lightbeam avec uBlock Origin

Pour ce faire, j'ai d'abord cliqué sur « Reset data » dans Lightbeam, pour repartir sur une page neuve. Cela se passe de commentaires. Le Monde est à gauche, Le Parisien à droite.

Adguard

La mise en place est identique : Profil Firefox vierge. Installation de Lightbeam et Adguard

Installation d'Adguard

Dès l'installation, il ouvre un onglet (c'est déjà moins transparent pour l'utilisateur). Mais on va dire que comme c'est pour le configurer, c'est pour la bonne cause. Mais en anglais uniquement.

Éléments 1 et 2 : par défaut, il ne bloque ni les analytics ni les boutons sociaux. L'utilisateur lambda ne saura pas qu'il faut les activer. On perd déjà en efficacité.

Élément 3 : protection contre le phishing : tous les navigateurs le font déjà, et il y a déjà suffisamment de faux positifs pour ne pas en rajouter une couche. Adguard coopère avec Web of Trust, qui "note" la confiance que l'on peut avoir dans les sites web. Sauf que ça veut dire que WoT enregistre toute votre navigation. On est loin de la considération "vie privée", on rajoute des éléments à risque. Je ne dis pas que WoT n'est pas fiable, mais maintenant que les navigateurs font le boulot, pas la peine d'en rajouter. Je vous déconseille donc de vous en servir.

Élément 4 : enfin, on autorise (par défaut toujours) Adguard à laisser passer les pubs des moteurs de recherche et l'auto-promotion des sites. Alors l'auto-promotion, je veux bien, mais les pubs das les recherches ? Mais non, c'est justement ce dont on veut se protéger. C'est typiquement les liens vers des boutiques en ligne pour acheter un grille-pain quand vous cherchez « Grille-pain » dans Google.

Mais il y a un lien pour en apprendre plus, allons donc voir.

Le Site d'Adguard

Wow wow wow ! Ça donne envie de faire confiance ! Déjà que c'est franchement dommage qu'il n'y ait aucune traduction autre que l'anglais, mais s'ils ne se donnent même pas la peine, en 8 ans, de faire un lien vers la FAQ en anglais (qui existe)… Enfin, il nous fait bien sa pub pour qu'on achète des versions desktop et mobile.

Car oui, je rappelle, Adguard est une entreprise. Or, on a vu ce que ça donne quand une entreprise prétend bloquer les pubs (Adblock Plus notamment). Ça devient une passoire. Même Google se met à « bloquer » les pubs, c'est dire à quel point c'est devenu un truc marketing pour mieux faire passer la pilule. Niveau de confiance : 0.

Le module Adguard Bien, le module est installé.

Bonne surprise, l'interface est tout de même traduite, ouf. Elle est claire : indicateur de protection, mettre en pause, bloquer des éléments (et pas que de la pub d'ailleurs). On peut faire une réclamation à propos de ce site (hu ?) et voir un rapport de sécurité. Rapport fourni par ?… WoT, faut suivre au fond.

En se rendant dans les paramètres, on constate que le module de bloqueur de pub se base sur… EasyList. Comme Adblock Plus et uBlock Origin donc. Valeur ajoutée ? 0. On constate, comme prévu au tout début, que les « Annonces acceptables » sont permises. En gros, il fait la même chose qu'Adblock Plus. Comment sont définies les « Annonces acceptables ? » On ne sait pas. Mais Adguard étant une entreprise désirant gagner de l'argent malgré son activité, je vous laisse deviner…

Sinon, rien de plus à dire. Testons avec Lightbeam.

Le Monde sous Lightbeam avec Adguard Le Monde

Le Parisien sous Lightbeam avec Adguard Le Parisien

Les deux sous Lightbeam avec Adguard Les deux ensemble

Aïe aïe aïe /o\

On voit que par défaut, Adguard laisse traîner énormément de connexions vers les tierces parties. De plus, sur Le Parisien, le site continue de charger dans le vide. Preuve qu'il ne bloque pas tout ce qu'il devrait. C'est encore plus flagrant quand on lance les deux sites en même temps. Je ne vois pas une énorme différence avec ou sans Adguard au final. Petit rappel de la même situation avec uBlock Origin

Les deux sous Lightbeam avec uBlock Origin Les deux avec uBlock Origin

Un peu de personnalisation

Maintenant, voyons comment faire pour personnaliser simplement nos bloqueurs.

uBlock Origin

Dans uBlock Origin, il est nécessaire de faire une petite manip. Après avoir cliqué sur l'icône du module, il faut aller sur les paramètres

Accès au panneau avancé de uBlock Origin

Puis cliquer sur « Activer les paramètres avancés » dans l'onglet « Paramètres »

Le panneau avancé

Ce qui nous permet d'afficher ceci :

L'interface de uBlock

Un panneau résumant très clairement ce qui est chargé, ce qui est bloqué, et qui nous permet, si on le souhaite, d'activer ou désactiver des scripts. Alors ça va moins loin que NoScript, c'est c'est beaucoup plus intuitif.

On voit qu'il y a deux colonnes. La colonne de gauche (1) est pour les réglages généraux, qui vont s'appliquer à toute la navigation (genre bloquer facebook.com le bloquera absolument partout). La colonne de droite (2) va gérer les autorisations pour le site actuel uniquement (donc bloquer facebook.com dans la colonne de droite va le bloquer uniquement sur lemonde.fr)

Comment faire ? En cliquant sur la zone à gauche en face d'un nom de domaine, on l'autorise, en cliquant sur la zone à droite, on l'interdit. Comme dit, c'est un peu bourrin (comparé à Noscript), mais c'est simple.

Autoriser un domaine

Il faut ensuite recharger la page pour que ça prenne effet, et si on veut que ce soit permanent, on n'oublie pas de cliquer sur le petit cadenas en haut. Ou sur la gomme si on veut enlever toutes les modifications temporaires apportées récemment.

Autoriser un domaine

Et c'est à peu près tout ce que vont faire 99% des utilisateurs.

Adguard

Voyons voir Adguard maintenant.

Pour voir les domaines bloqués, je n'ai pas trouvé mieux que le petit bouton Recherche à côté du nombre de scripts bloqués.

L'interface d'Adguard

Ce qui ouvre une pop-up. Chose déconseillée par à peu près tout le monde, mais bon. Alors chose intéressante, ça a marché la première fois que j'ai testé. Et là :

Page blanche sur Adguard

Je vous jure, je le fais pas exprès ! Idem sur le site du Parisien. Bon. En 3 ans et demi, uBlock Origin ne m'a jamais fait défaut sur l'affichage. Et là ça fait pas 3 heures. Mais ne putassons pas.

C'est finalement revenu. Il met un certain temps à lister tous les éléments chargés sur la page. Genre c'est un peu vachement long. Bon.

Liste des scripts sur Adguard

Il filtre les éléments par type : HTML, CSS, Scripts, etc. Vous allez me dire « ah, uBlock Origin ne le fait pas ! ». Ce qui est vrai, parce que ça ne parle pas au grand public. Pour ceux qui savent ce que ces termes signifient et qui veulent faire mumuse, il y a uMatrix pour cela. Avec la même interface ultra-intuitive de uBlock Origin.

Donc si je veux bloquer des élements, je dois… voyons voir… Trouver l'élément dans la liste, cliquer dessus, puis cliquer sur bloquer.

Ici un exemple avec kameleoon, qui n'est étrangement pas bloqué, alors que c'est un bon gros truc de pub. Allez comprendre.

Bloquer un script sur Adguard

Sinon je sais pas vous, mais entre une liste interminable d'URLs à parcourir, et un petit tableau avec des couleurs qui me permet de bloquer / débloquer des éléments en un clic, mon choix est vite fait. Alors oui, uBlock Origin n'est pas très « accessible », au sens premier du terme. Mais NoScript fait très bien le job du coup, même s'il demande un investissement supplémentaire. Et rien ne dit qu'Adguard l'est, en passant.

Conclusion

Ce billet est bien évidemment subjectif, en même temps, on est sur un blog. Mais tout de même, on parle ici d'outils basiques et essentiels pour limiter le tracking en ligne, sauvegarder de la bande passante et de la puissance machine, et économiser du temps (oui, afficher 3 pubs vidéo par page, ça prend des ressources).

Il est important, pour que le grand public s'empare de ces questions, de lui parler simplement (car il n'est pas technicien) et de lui proposer des outils simples à utiliser, pour s'assurer qu'il s'en sert, et correctement.

Ici, uBlock Origin est parfait pour cela : une fois installé, il n'y a techniquement pas besoin d'y toucher. Vous avez remarqué que ce billet n'était pas un tuto d'utilisation, il manque donc des éléments essentiels, comme l'ajout des listes Disconnect pour compléter la « protection » ; mais un comparatif entre deux produits faisant la même chose, histoire de voir pourquoi on peut préférer Adguard.

Et bien, je ne comprends pas. L'outil fonctionne moins bien (voir les résultats sous Lightbeam), est plus difficile d'accès (les listes d'URL interminables vs un tableau avec des couleurs), est édité par une entreprise (ce qui empêche qu'on lui fasse confiance pour protéger notre vie privée). Et le plus gros point : personne n'en a parlé.

Je veux dire, l'entreprise existe depuis 2009. Qui en a entendu parler ? En cherchant un peu, je n'ai trouvé quasi aucun site d'information spécialisé qui en a parlé, à part pour un truc qui n'a rien à voir : une infection de sites webs via des pubs dont le but est de faire miner du bitcoin ; avec pour source... un billet de blog sur adguard.com.

Vous allez me dire « ah si, sur leur site, ils sont cités par Forbes, The Guardian, etc. ». Oui, pas des sites spécialisés donc. Et regardez un peu les liens... que des articles sur le minage de bitcoin. Rien à voir avec l'activité d'Adguard donc.

Le bullshit d'Adguard

En parlant d'adguard.com, le site vous martèle constamment pour que vous achetiez sa solution pour Windows et Mac OS. Il utilise du bon gros bullshit marketing : « Économise le trafic internet et accélère le chargement », oui, comme uBlock Origin ; « Protège contre les publicités désagréables », oui comme uBlock Origin, qui le fait mieux, on l'a vu.

ELe bullshit d'Adguard

Du coup, un outil non validé par les pairs, et inconnu dans le milieu, ça s'appelle un outil dans lequel on ne peut pas avoir confiance. Et les tests montrent qu'il fonctionne moins bien.

Vous voulez bloquer les pubs et vous protéger des scripts de tracking ? Installez uBlock Origin. Vous voulez aller plus loin ? Installez uMatrix. Vous avez des soucis d'accessibilité ? Installez Noscript.