Les bannières cookies, franchement, plus personne à part quelques no-life ne les lisent. On clique tous sur "Accepter tout" par flemme et on sait tous pertinemment que nous venons de nous "auto-tracker" comme des débilos. Mais heureusement, y'a une extension Firefox qui fait le refus automatique à votre place, et qui envoie même un signal légal pour dire "non merci" aux sites qui jouent le jeu.

Cette extension s'appelle Auto Reject Cookies , elle est open source sous licence MIT,et se fait rapidement oubliée une fois installée sur Firefox (Desktop ou Android).

Ensuite, son boulot, elle le fait en arrière-plan : Quand une bannière de consentement apparaît, elle cherche le bouton "Reject All" et clique dessus toute seule. Pour les bannières en deux étapes (celles qui cachent le "tout refuser" derrière un bouton "Paramètres" bien planqué), elle va aussi chercher plus loin.

Et le truc chouette, c'est que cette extension supporte +25 plateformes de gestion du consentement (OneTrust, CookieBot, Sourcepoint, Didomi et compagnie) et reconnaît les boutons en plus de 10 langues, français inclus. Et pour parfaire le tout, une coche verte s'affiche quand un rejet a réussi, histoire que vous sachiez qu'elle a fait le job.

J'ai testé sur Le Monde, Reddit, HackerNews, GitHub et quelques gros sites US, c'est 95% de réussite direct. Sur les sites avec des CMP ultra-customs par contre (genre un vieux forum fais maison ou un dashboard d'entreprise à la con), ça rate parfois et faut cliquer à la main. Rien de grave hein, le web est tellement varié, ça peut pas taper dans le mille à tous les coups.

Et si y'a un site où vous avez besoin des cookies (votre banque, votre boulot, le site de votre prof de lancer de hâches), vous le mettez en liste blanche et c'est réglé.

Et le vrai atout de ce logiciel, c'est surtout le signal GPC (Global Privacy Control) que l'extension envoie avant chaque chargement de page. Elle injecte l'en-tête "Sec-GPC: 1" et définit le paramètre "navigator.globalPrivacyControl" dans le navigateur. En gros, ça dit aux sites : "cet utilisateur ne veut pas que ses données soient vendues". Et si le site respecte cette règle, vous êtes OK.

En France on est sur du RGPD/ePrivacy donc le signal GPC n'a pas (encore) de poids légal, mais l'extension l'envoie quand même, et vu la direction que prend la CNIL sur le tracking, ça coûte rien d'être en avance.

La différence avec Consent-O-Matic (que j'avais déjà abordé l'an dernier), c'est le scope. Consent-O-Matic supporte +200 CMPs et propose des profils de préférences personnalisés alors que Auto Reject Cookies est moins large mais ajoute le GPC systématique et reste sur un refus total par défaut.

Niveau permissions, l'extension demande l'accès aux onglets et aux données de tous les sites web (normal, vu qu'elle doit intercepter les bannières partout), mais le développeur mouth_brood indique que rien n'est collecté. Et comme c'est du MIT, le code est dispo sur GitHub si vous voulez vérifier.

Bref, à tester !

Bon, les amis, si vous utilisez Tor Browser pour faire du sérieux, faut que vous sachiez un truc. Le bouton "New Identity", censé vous donner une nouvelle identité vierge à chaque clic... bah il laissait filer, jusqu'à il y a peu de temps, un identifiant stable tant que Firefox tournait.

Deux chercheurs de Fingerprint ont en effet trouvé comment une fonction toute bête du navigateur se transformait en empreinte unique de votre browser, partagée entre tous les sites que vous visitiez.

Il faut donc dès à présent faire la mise à jour vers Firefox 150 ou l'ESR 140.10.0 (la version long-terme utilisée par Tor Browser), ainsi que la dernière version de Tor Browser qui récupère le patch. Si vous voulez en savoir plus, la CVE c'est CVE-2026-6770 , classé comme sévérité modérée par Mozilla.

Le truc marche en vase clos mais traverse les murs.

Mais avant, IndexedDB c'est quoi ?

En gros c'est une mini-base de données que les sites web peuvent créer dans votre navigateur, pour stocker des trucs en local (du cache, des données offline, l'état d'une app web). Chaque site peut y ranger plusieurs bases nommées, et une petite fonction JavaScript indexedDB.databases() permet au site de demander la liste de ses bases.

Rien de foufou sur le papier. Sauf que dans Firefox en navigation privée, le navigateur renomme en coulisse chaque base avec un identifiant aléatoire (UUID), et range tout ça dans une seule grosse table interne. Et le gros problème, c'est que cette table est partagée entre tous les sites ouverts, et pas cloisonnée site par site.

Et là, ça devient croustillant puisque quand un site redemande la liste de ses bases, Firefox la renvoie sans la trier, dans un ordre qui dépend de la structure interne de cette table partagée. Du coup, deux sites totalement différents qui créent chacun seize bases dans le même ordre récupèrent exactement la même suite en retour. Pas l'ordre de création donc mais une permutation bizarre, genre g,c,p,a,l,f,n,d,j,b,o,h,e,m,i,k.

Je vous passe les détails mais ça fait dans les 17 000 milliards de combinaisons possibles. Donc largement de quoi distinguer votre navigateur parmi des millions, comme une empreinte digitale qui colle au doigt !

Et ce qui pique vraiment c'est que cet identifiant survit à la fermeture de toutes vos fenêtres privées. Tant que le process Firefox tourne en arrière-plan, l'ID reste. Un site peut donc vous reconnaître après que vous ayez fermé vos onglets privés, rouvert une session pensée comme neuve, et revisité le site. Pour le user, c'est une session fraîche alors que pour le serveur c'est clairement le même navigateur qu'il y a dix minutes.

Côté Tor Browser c'est pire puisque le bouton "New Identity" a pour mission explicite de couper tout lien avec ce que vous faisiez avant. Il ferme les onglets, efface l'historique, vide les cookies, tire de nouveaux circuits Tor. La promesse officielle, c'est "empêcher votre activité future d'être liée à ce qui précède".

Sauf que cette fameuse table interne, elle, ne bouge pas. Le New Identity reset donc tout sauf ce qu'il ignore. C'est comme changer de fringues dans le même ascenseur... en gardant le même parfum. Techniquement vous êtes différent, mais reconnaissable en deux secondes. Bref, c'est assez grave car un site capable d'exploiter la faille peut lier votre session avant-New-Identity à votre session après-New-Identity.

Tant qu'on n'a pas redémarré Firefox complètement, l'ID persiste.

Les chercheurs disent avoir fait une divulgation responsable, directement à Mozilla et au Tor Project avant publication donc c'est nickel, et les deux équipes ont poussé les patches avant de communiquer sur quoi que ce soit. Donc les utilisateurs à jour sont tout simplement protégés contre cette faille précise.

Après si vous êtes du genre parano, pensez à redémarrer complètement votre Tor Browser entre deux sessions vraiment sensibles. Ça coupe le process Firefox, ça vide cette fameuse table, et ça évite ce genre de surprise pour d'autres leaks similaires qu'on n'aurait pas encore trouvés.

A bon entendeur, salut !!

Source

Derrière les notes de mise à jour en apparence banales de Firefox 150 se cache un véritable séisme pour la cybersécurité. En s'alliant avec la nouvelle IA d'Anthropic, Mozilla a débusqué et corrigé près de 300 failles d'un coup. Une avancée historique qui pourrait bien signer la fin des attaques « zero-day » et définitivement inverser le rapport de force entre pirates et défenseurs.

Derrière les notes de mise à jour en apparence banales de Firefox 150 se cache un véritable séisme pour la cybersécurité. En s'alliant avec la nouvelle IA d'Anthropic, Mozilla a débusqué et corrigé près de 300 failles d'un coup. Une avancée historique qui pourrait bien signer la fin des attaques « zero-day » et définitivement inverser le rapport de force entre pirates et défenseurs.

Vous vous souvenez du mème " Oh, tu aimes les extension Firefox ? Alors nomme les toutes ! " ?

Bah Jack s'est dit que plutôt que les nommer, autant toutes les installer. Oui, les 84 194 extensions d'un seul coup !

Sur le papier c'est pas si compliqué. Tu télécharges les .xpi depuis l'API publique Mozilla (aucune authentification requise), tu les colles dans le dossier extensions/ d'un profil Firefox, tu édites extensions.json pour tout activer. Sauf que l'API de recherche plafonne à 600 pages max, soit environ 30 000 résultats. Du coup Jack a du combiner plusieurs tris pour contourner la limite et chopper les 84 235 extensions existantes, soit 49,3 Go de données au total.

Première tentative dans une VM Windows Tiny11 : le pagefile bouffe malheureusement tout le disque, Firefox gèle, et c'est la fin. Du coup, essai suivant sur Mac avec 6 heures de téléchargement, soit 400 Go d'écritures disque... la fenêtre Firefox s'ouvre mais ne répond jamais ! Entre 4 000 et 6 000 extensions actives certes mais les sites web ne chargent plus (une des extensions bloque tout mais laquelle ??). Bref, plus grand-chose ne répond à part le about:addons.

6 mois plus tard, Jack retente alors l'opération avec une VM. 84 194 extensions chargées, en 1h43 auquel s'ajoute 39 minutes pour que Firefox réécrive le fichier extensions.json (qui pèse du 189 Mo), +24 minutes avant que le navigateur affiche quoi que ce soit, avec une consommation mémoire stabilisée vers 32 Go. La cause du ralentissement est chirurgicale... En fait Firefox sérialise extensions.json en entier à chaque écriture donc ça marche nickel pour 15 extensions mais pour 84 194, c'est pas le même délire.

Le plus intéressant après, c'est pas la démarche elle-même, c'est surtout ce que ça révèle sur le store de Mozilla. En effet, après analyse, 34,3 % des extensions n'ont aucun utilisateur quotidien. 19 % sont totalement abandonnées, sans user, sans review ni capture écran, et encore moins une icône. Y'a aussi des contributeurs un peu chelous comme un certain "Dr. B" qui a publié à lui seul 84 extensions, toutes générées avec Grok 3.

Et puis il y a aussi des extensions de phishing crypto avec des homoglyphes cyrilliques . L'extension malveillante "Іron Wаllеt" par exemple récupère ses URLs depuis un NocoDB trois secondes après installation. Le groupe Innover Online Group contrôle à lui seul plus de 700 000 utilisateurs via un paquet d'extensions de spam affilié sur Yahoo Search. Mozilla en a pour le moment désactivé 3 dans la foulée.

Autre moment drôle : Windows Defender a flaggé HackTools comme cheval de Troie alors que c'est légitime. Y'a aussi la plus grosse extension installée, dmitlichess, qui pèse 196 Mo car elle embarque 2 000 fichiers audio), et la plus petite fait 7 518 octets... sans contenir une seule ligne de code. Bref, y'a des pépites.

Et Jack a publié son dataset en CC0 sur Hugging Face sans oublier que son code est dispo donc si vous avez 50 Go à cramer et envie de faire joujou avec l' écosystème Firefox , servez-vous !

Bref, un Firefox lancé avec TOUTES les extensions du store Mozilla, ça fonctionne techniquement, mais c'est loin d'être utilisable. Mais après pour faire de l'analyse et des stats, je trouve ça marrant.

Source

L'IA Claude Mythos (Preview) est parvenue à identifier 271 vulnérabilités dans le code source de Firefox, désormais patchées avec Firefox 150.

Le post Claude Mythos a découvert 271 failles de sécurité dans Firefox a été publié sur IT-Connect.

Le nouveau Mozilla Firefox 150 apporte plusieurs nouveautés, notamment au sein du lecteur PDF, de la vue scindée, ou encore de la gestion des accès au réseau.

Le post Firefox 150 est disponible : découvrez les nouveautés principales a été publié sur IT-Connect.

Six ans. C'est le temps qu'il aura fallu à Mozilla pour changer d'avis sur l'API Web Serial. Firefox Nightly 151 l'intègre désormais, avec activation via un flag à aller chercher dans le menu. Le premier commit côté code date de mi-janvier, et le déploiement pour les utilisateurs Nightly est effectif depuis le 13 avril.

Pour ceux qui ne connaissent pas, Web Serial est l'API standardisée qui permet à une page web de communiquer directement avec un périphérique série connecté en USB, en Bluetooth ou via un vrai port série.

Imprimante 3D, Arduino, carte ESP32, débogueur JTAG, microcontrôleur industriel, hub domotique, tout ce qui expose une liaison série peut être piloté depuis du JavaScript. C'est par exemple ce qui fait tourner l'IDE Arduino en ligne, Espruino, les flasheurs ESP dans le navigateur, et une bonne partie de la scène maker moderne.

Chrome, Edge, Opera et Vivaldi supportent Web Serial depuis 2020. Firefox, lui, tenait une position claire, trop risqué, le consentement utilisateur ne protège pas assez, la surface d'attaque sur le matériel connecté est bien trop large.

Un ingénieur de Mozilla l'avait écrit noir sur blanc à l'époque. Les utilisateurs Firefox qui bidouillaient avec des cartes électroniques étaient de fait poussés sur Chrome ou sur une extension tierce bancale. En 2026, Mozilla rend les armes et aligne Firefox sur le reste de l'écosystème, Apple mis à part.

Apple, justement, reste fermement opposé à Web Serial, WebUSB et WebHID côté WebKit. Les arguments avancés sont les mêmes qu'à l'époque Mozilla, fingerprinting, sécurité, risques sur l'OS.

Safari n'intégrera pas l'API dans un avenir prévisible. Donc en pratique, si vous avez une webapp qui dialogue avec du matos, iOS et iPadOS restent hors-jeu pour cet usage.

Côté permissions, Web Serial exige une validation utilisateur explicite pour chaque périphérique, avec une fenêtre de sélection gérée par le navigateur. Le site ne peut pas lister les ports disponibles sans action.

C'est un garde-fou correct, mais qui ne supprime pas le risque de phishing physique (un site malveillant qui vous demande de sélectionner un périphérique sous un prétexte bidon).

Pour les makers, l'arrivée dans Firefox est une vraie bonne chose. Ça fait un navigateur supplémentaire pour flasher un ESP depuis le web, une option pour ceux qui refusent Chrome par principe, et un moins gros verrou à faire sauter pour les tutoriels d'électronique amateur. La version stable devrait arriver dans quelques mois si les retours Nightly sont propres.

Bref, Firefox s'aligne, Apple s'isole, et la bidouille matérielle reprend ses droits dans le navigateur, tout va bien.

Source : The Register

Voilà quelques années que YouTube n'affiche plus les mentions « Je n'aime pas » (pouces rouges) pour les utilisateurs. Mais si la plateforme ne donne plus cette information, certaines astuces permettent quand même de les afficher. Voici la marche à suivre.

La version 149 de Firefox est sortie. Elle intègre un VPN maison, dès à présent disponible pour les internautes en France. Son activation est simple, mais nécessite de franchir quelques étapes préalables.

Mozilla va lancer un VPN gratuit directement intégré à son navigateur. Prévu pour le 24 mars 2026 avec la mise à jour Firefox 149, ce nouvel outil promet de protéger votre navigation avec une enveloppe de 50 Go par mois.

Au programme de Firefox 149, un VPN gratuit avec un forfait de 50 Go de données par mois, et d'autres petites nouveautés comme l'affichage scindé.

Le post Firefox 149 intègre un VPN gratuit avec 50 Go de données par mois a été publié sur IT-Connect.

Source

Anthropic a utilisé son modèle Claude Opus 4.6 pour tester la sécurité du navigateur Firefox : l'IA est parvenue à identifier 22 failles de sécurité.

Le post Firefox 148 : 22 failles de sécurité corrigées grâce à l’IA Claude Opus 4.6 a été publié sur IT-Connect.

Source

Le 30 décembre 2025, les chercheurs de Koi Security ont publié les conclusions de leur dernière enquête sur l’acteur cybercriminel DarkSpectre. Identifié depuis plusieurs années, cet acteur chinois aurait récemment disséminé des extensions de navigateur visant à collecter des renseignements d’entreprise, en extrayant notamment des informations issues de réunions Zoom et Google Meet.