Vincent en avait parlé il y a peu : Firefox 149 embarque maintenant discrètement adblock-rust , le moteur Adblock de Brave, désactivé par défaut et contrôlé uniquement par deux prefs dans about:config.

A l'origine, je vous avais parlé d'une extension mais après analyse plus approfondie, celle-ci n'est pas vraiment nécessaire. Y'a juste deux valeurs à coller dans about:config et le moteur tourne. Merci donc à François qui m'a indiqué cette méthode directe.

Étape 1 : Activer le moteur

Dans la barre d'adresse, tapez about:config et acceptez l'avertissement. Cherchez la préférence suivante :

privacy.trackingprotection.content.protection.enabled

Passez-la à true. Si elle n'existe pas encore dans votre profil, créez-la : clic droit quelque part dans la liste → Nouveau → Booléen.

Étape 2 : Charger vos listes de filtres

Cherchez ensuite cette seconde préférence :

privacy.trackingprotection.content.protection.test_list_urls

Collez-y la valeur suivante, toutes les URLs séparées par des pipes :

https://easylist.to/easylist/easylist.txt|https://easylist.to/easylist/easyprivacy.txt|https://secure.fanboy.co.nz/fanboy-cookiemonster.txt|https://raw.githubusercontent.com/uBlockOrigin/uAssets/refs/heads/master/filters/annoyances-others.txt|https://raw.githubusercontent.com/AdguardTeam/FiltersRegistry/master/filters/filter_2_Base/filter.txt|https://raw.githubusercontent.com/uBlockOrigin/uAssets/refs/heads/master/filters/filters.txt|https://raw.githubusercontent.com/AdguardTeam/FiltersRegistry/master/filters/filter_3_Spyware/filter.txt|https://pgl.yoyo.org/adservers/serverlist.php?hostformat=adblockplus&showintro=1&mimetype=plaintext

Ça couvre 8 listes : EasyList, EasyPrivacy, Fanboy Cookie Monster, uBO Annoyances (les 4 de base), plus uBO Filters, AdGuard Base, AdGuard Tracking et Peter Lowe. Si vous voulez un profil plus léger, vous pouvez supprimer des URLs avant de coller.

Petite note : le préfixe test_ dans le nom de cette pref indique que la feature est encore expérimentale dans Firefox 149. Les noms peuvent donc changer dans une version future.

Désactiver ETP (optionnel mais recommandé)

La protection contre le pistage intégrée de Firefox (ETP) et adblock-rust filtrent chacun de leur côté. C'est redondant. Pour désactiver ETP, allez dans about:preferences → Confidentialité et sécurité → Protection renforcée contre le pistage → cochez "Personnalisée", puis décochez tout ce que vous voulez confier à adblock-rust.

Limitation actuelle : adblock-rust ne gère pas encore les sélecteurs CSS de masquage d'éléments, les règles ## du style uBlock Origin. Brave les supporte déjà, Firefox devrait suivre. En attendant, quelques pubs que uBO cachait via CSS resteront visibles.

Pour le contexte technique complet sur l'intégration de ce moteur, allez lire l'article de Vincent sur l'arrivée discrète d'adblock-rust dans Firefox 149 . Et si vous voulez un guide général pour bloquer les pubs et trackers sur le web , c'est par là.

Merci à François pour la méthode et la liste de filtres !

Pour qui n'utilise pas encore de VPN (on sait jamais, il y a aussi des néophytes qui nous lisent parfois !), c'est un service qui fait passer votre trafic Internet par un serveur intermédiaire situé dans un autre pays. Résultat, les sites web croient que vous vous connectez depuis là-bas, ce qui sert à débloquer du contenu géo-bloqué (Netflix, presse étrangère) ou à masquer votre vraie adresse IP face aux sites que vous visitez.

Firefox embarque depuis quelques semaines un VPN gratuit intégré directement dans le navigateur, et la version 151 prévue pour le 19 mai va enfin permettre de choisir le pays de sortie, ce qui était la grande absence depuis le lancement.

Cinq destinations seront disponibles au lancement : les États-Unis, le Royaume-Uni, la France, le Canada et l'Allemagne. Mozilla n'a pas confirmé si la liste s'allongerait par la suite, ni quelles plateformes seraient supportées en priorité. Côté Android, l'arrivée de la fonction est confirmée, ce qui était une demande récurrente des utilisateurs mobiles qui voulaient pouvoir aussi choisir manuellement leur point d'entrée.

Le VPN intégré de Firefox n'est pas la même chose que Mozilla VPN, le service payant que la fondation propose depuis 2020. La version intégrée gratuite ne chiffre que le trafic du navigateur, pas celui des autres applis du PC ou du téléphone.

Si vous utilisez Mail, WhatsApp ou un client torrent à côté, ces apps continuent de passer en clair par votre connexion habituelle. Pour avoir une couverture totale de l'appareil, il faut basculer sur l'offre Mozilla VPN payante, qui chiffre tout au niveau système et propose une cinquantaine de pays.

La version gratuite est plafonnée à 50 Go de trafic par mois. C'est largement suffisant pour de la navigation classique, mais ça part vite si vous regardez du streaming HD régulier en VPN. Il faut aussi créer un compte Mozilla pour activer le service, ce qui n'est pas anodin pour une fonction qu'on imaginerait livrée sans inscription.

Mozilla justifie ce choix par la nécessité de gérer le quota côté serveur, mais ça reste un frein pour les utilisateurs allergiques aux comptes.

Stratégiquement, Mozilla joue clairement sur le filon des VPN grand public. Le marché est dominé par ExpressVPN, NordVPN, Surfshark.

Proposer une version gratuite et limitée mais correcte, intégrée directement au navigateur, c'est un moyen de récupérer des utilisateurs sans demander de carte bancaire. Et pour les gens qui veulent juste contourner un blocage géographique de temps en temps, sans s'engager sur un abonnement, ça pourrait largement faire le boulot.

Source : GHacks

Souvenez-vous, en mai 2025 quand je vous parlais de BleachBit 5.0 et de son grand ménage de printemps. Hé bien Andrew Ziem, le développeur historique du soft, vient de balancer la version 6.0 samedi dernier !

Et c'est annoncé comme la plus grosse release du projet depuis des années, avec plus de 100 améliorations et bug fixes au programme. Et surtout deux nouveautés qui sortent du lot.

La première, c'est un Cookie Manager qui vous laisse enfin choisir quels cookies garder lors d'un nettoyage, sur les navigateurs Chromium et Firefox. Plus besoin donc de tout dégager d'un coup et de devoir ressaisir vos sessions partout.

Vous gardez ce qui compte (banque, mail, sites où vous êtes loggés en permanence) et le reste passe à la machine. Andrew a même mis une vidéo de démo sur la page de release pour montrer le truc en action.

Mozilla a glissé dans Firefox 149, sorti en mars, le moteur d'adblock open source de Brave, sans communiquer dessus dans les notes de version.

L'info est sortie cette semaine via le blog itsfoss et un billet du VP Brave Shivan Kaul Sahib. C'est un retournement assez inattendu : Firefox embarque le code d'un concurrent direct pour bloquer des publicités au cœur du navigateur. 

Le composant en question s'appelle adblock-rust. C'est un moteur écrit en Rust, sous licence MPL-2.0, qui gère le filtrage des requêtes réseau et le filtrage cosmétique sur la page.

Il accepte directement la syntaxe des listes de filtres compatibles avec uBlock Origin, donc EasyList, EasyPrivacy et compagnie marchent sans trop se casser la tête. L'intégration a été poussée via le bug Bugzilla 2013888 par l'ingénieur Mozilla Benjamin VanderSloot, sous le titre "Add a prototype rich content blocking engine".

Pour le moment, la chose est désactivée par défaut. Aucune interface utilisateur dans les préférences, aucune liste de filtres préchargée, rien de tout ça. Si vous voulez tester, il faut passer par about:config, activer la fonction et fournir vos propres listes. C'est clairement une phase de test, pas un produit fini. Mais le code est déjà dans le binaire stable de millions d'utilisateurs, ce qui n'est pas anodin pour un simple test technique.

Le contexte rend la manœuvre encore plus intéressante. Chrome a appliqué entre 2024 et 2025 sa nouvelle norme d'extension Manifest V3, qui réduit fortement les capacités des adblockers tiers comme uBlock Origin. La conséquence directe a été un transfert massif d'utilisateurs vers des navigateurs qui restaient compatibles avec uBlock, dont Firefox forcément. En intégrant un moteur natif performant, Mozilla pourrait demain proposer un adblock par défaut, sans dépendre d'une extension tierce qui pourrait être bridée par les politiques d'extension.

Côté Brave, le calcul est aussi très clair. Le navigateur basé sur Chromium n'a jamais réussi à bouger vraiment l'aiguille en parts de marché malgré son angle pro-vie privée. Par contre, voir son moteur d'adblock embarqué dans le code d'un acteur historique comme Firefox, c'est une victoire qui légitime tout son travail de recherche depuis des années. Et la licence MPL-2.0 rend la chose juridiquement clean des deux côtés.

Il y a quand même quelques zones d'ombre. Mozilla n'a publié aucune déclaration officielle, ce qui laisse penser que l'équipe veut probablement éviter de braquer son partenariat publicitaire avec Google avant que la fonction soit activable. Et Waterfox, le fork de Firefox plutôt orienté "privacy", a déjà commencé à proposer l'option dans ses builds, ce qui pourrait pousser Mozilla à se positionner un peu plus vite.

Vous l'avez compris, Mozilla pose les fondations d'un adblock natif Firefox sans le dire, en empruntant le moteur d'un concurrent. C'est un move intéressant.

Source : Itsfoss

Les bannières cookies, franchement, plus personne à part quelques no-life ne les lisent. On clique tous sur "Accepter tout" par flemme et on sait tous pertinemment que nous venons de nous "auto-tracker" comme des débilos. Mais heureusement, y'a une extension Firefox qui fait le refus automatique à votre place, et qui envoie même un signal légal pour dire "non merci" aux sites qui jouent le jeu.

Cette extension s'appelle Auto Reject Cookies , elle est open source sous licence MIT,et se fait rapidement oubliée une fois installée sur Firefox (Desktop ou Android).

Ensuite, son boulot, elle le fait en arrière-plan : Quand une bannière de consentement apparaît, elle cherche le bouton "Reject All" et clique dessus toute seule. Pour les bannières en deux étapes (celles qui cachent le "tout refuser" derrière un bouton "Paramètres" bien planqué), elle va aussi chercher plus loin.

Et le truc chouette, c'est que cette extension supporte +25 plateformes de gestion du consentement (OneTrust, CookieBot, Sourcepoint, Didomi et compagnie) et reconnaît les boutons en plus de 10 langues, français inclus. Et pour parfaire le tout, une coche verte s'affiche quand un rejet a réussi, histoire que vous sachiez qu'elle a fait le job.

J'ai testé sur Le Monde, Reddit, HackerNews, GitHub et quelques gros sites US, c'est 95% de réussite direct. Sur les sites avec des CMP ultra-customs par contre (genre un vieux forum fais maison ou un dashboard d'entreprise à la con), ça rate parfois et faut cliquer à la main. Rien de grave hein, le web est tellement varié, ça peut pas taper dans le mille à tous les coups.

Et si y'a un site où vous avez besoin des cookies (votre banque, votre boulot, le site de votre prof de lancer de hâches), vous le mettez en liste blanche et c'est réglé.

Et le vrai atout de ce logiciel, c'est surtout le signal GPC (Global Privacy Control) que l'extension envoie avant chaque chargement de page. Elle injecte l'en-tête "Sec-GPC: 1" et définit le paramètre "navigator.globalPrivacyControl" dans le navigateur. En gros, ça dit aux sites : "cet utilisateur ne veut pas que ses données soient vendues". Et si le site respecte cette règle, vous êtes OK.

En France on est sur du RGPD/ePrivacy donc le signal GPC n'a pas (encore) de poids légal, mais l'extension l'envoie quand même, et vu la direction que prend la CNIL sur le tracking, ça coûte rien d'être en avance.

La différence avec Consent-O-Matic (que j'avais déjà abordé l'an dernier), c'est le scope. Consent-O-Matic supporte +200 CMPs et propose des profils de préférences personnalisés alors que Auto Reject Cookies est moins large mais ajoute le GPC systématique et reste sur un refus total par défaut.

Niveau permissions, l'extension demande l'accès aux onglets et aux données de tous les sites web (normal, vu qu'elle doit intercepter les bannières partout), mais le développeur mouth_brood indique que rien n'est collecté. Et comme c'est du MIT, le code est dispo sur GitHub si vous voulez vérifier.

Bref, à tester !

Bon, les amis, si vous utilisez Tor Browser pour faire du sérieux, faut que vous sachiez un truc. Le bouton "New Identity", censé vous donner une nouvelle identité vierge à chaque clic... bah il laissait filer, jusqu'à il y a peu de temps, un identifiant stable tant que Firefox tournait.

Deux chercheurs de Fingerprint ont en effet trouvé comment une fonction toute bête du navigateur se transformait en empreinte unique de votre browser, partagée entre tous les sites que vous visitiez.

Il faut donc dès à présent faire la mise à jour vers Firefox 150 ou l'ESR 140.10.0 (la version long-terme utilisée par Tor Browser), ainsi que la dernière version de Tor Browser qui récupère le patch. Si vous voulez en savoir plus, la CVE c'est CVE-2026-6770 , classé comme sévérité modérée par Mozilla.

Le truc marche en vase clos mais traverse les murs.

Mais avant, IndexedDB c'est quoi ?

En gros c'est une mini-base de données que les sites web peuvent créer dans votre navigateur, pour stocker des trucs en local (du cache, des données offline, l'état d'une app web). Chaque site peut y ranger plusieurs bases nommées, et une petite fonction JavaScript indexedDB.databases() permet au site de demander la liste de ses bases.

Rien de foufou sur le papier. Sauf que dans Firefox en navigation privée, le navigateur renomme en coulisse chaque base avec un identifiant aléatoire (UUID), et range tout ça dans une seule grosse table interne. Et le gros problème, c'est que cette table est partagée entre tous les sites ouverts, et pas cloisonnée site par site.

Et là, ça devient croustillant puisque quand un site redemande la liste de ses bases, Firefox la renvoie sans la trier, dans un ordre qui dépend de la structure interne de cette table partagée. Du coup, deux sites totalement différents qui créent chacun seize bases dans le même ordre récupèrent exactement la même suite en retour. Pas l'ordre de création donc mais une permutation bizarre, genre g,c,p,a,l,f,n,d,j,b,o,h,e,m,i,k.

Je vous passe les détails mais ça fait dans les 17 000 milliards de combinaisons possibles. Donc largement de quoi distinguer votre navigateur parmi des millions, comme une empreinte digitale qui colle au doigt !

Et ce qui pique vraiment c'est que cet identifiant survit à la fermeture de toutes vos fenêtres privées. Tant que le process Firefox tourne en arrière-plan, l'ID reste. Un site peut donc vous reconnaître après que vous ayez fermé vos onglets privés, rouvert une session pensée comme neuve, et revisité le site. Pour le user, c'est une session fraîche alors que pour le serveur c'est clairement le même navigateur qu'il y a dix minutes.

Côté Tor Browser c'est pire puisque le bouton "New Identity" a pour mission explicite de couper tout lien avec ce que vous faisiez avant. Il ferme les onglets, efface l'historique, vide les cookies, tire de nouveaux circuits Tor. La promesse officielle, c'est "empêcher votre activité future d'être liée à ce qui précède".

Sauf que cette fameuse table interne, elle, ne bouge pas. Le New Identity reset donc tout sauf ce qu'il ignore. C'est comme changer de fringues dans le même ascenseur... en gardant le même parfum. Techniquement vous êtes différent, mais reconnaissable en deux secondes. Bref, c'est assez grave car un site capable d'exploiter la faille peut lier votre session avant-New-Identity à votre session après-New-Identity.

Tant qu'on n'a pas redémarré Firefox complètement, l'ID persiste.

Les chercheurs disent avoir fait une divulgation responsable, directement à Mozilla et au Tor Project avant publication donc c'est nickel, et les deux équipes ont poussé les patches avant de communiquer sur quoi que ce soit. Donc les utilisateurs à jour sont tout simplement protégés contre cette faille précise.

Après si vous êtes du genre parano, pensez à redémarrer complètement votre Tor Browser entre deux sessions vraiment sensibles. Ça coupe le process Firefox, ça vide cette fameuse table, et ça évite ce genre de surprise pour d'autres leaks similaires qu'on n'aurait pas encore trouvés.

A bon entendeur, salut !!

Source

Derrière les notes de mise à jour en apparence banales de Firefox 150 se cache un véritable séisme pour la cybersécurité. En s'alliant avec la nouvelle IA d'Anthropic, Mozilla a débusqué et corrigé près de 300 failles d'un coup. Une avancée historique qui pourrait bien signer la fin des attaques « zero-day » et définitivement inverser le rapport de force entre pirates et défenseurs.

Vous vous souvenez du mème " Oh, tu aimes les extension Firefox ? Alors nomme les toutes ! " ?

Bah Jack s'est dit que plutôt que les nommer, autant toutes les installer. Oui, les 84 194 extensions d'un seul coup !

Sur le papier c'est pas si compliqué. Tu télécharges les .xpi depuis l'API publique Mozilla (aucune authentification requise), tu les colles dans le dossier extensions/ d'un profil Firefox, tu édites extensions.json pour tout activer. Sauf que l'API de recherche plafonne à 600 pages max, soit environ 30 000 résultats. Du coup Jack a du combiner plusieurs tris pour contourner la limite et chopper les 84 235 extensions existantes, soit 49,3 Go de données au total.

Première tentative dans une VM Windows Tiny11 : le pagefile bouffe malheureusement tout le disque, Firefox gèle, et c'est la fin. Du coup, essai suivant sur Mac avec 6 heures de téléchargement, soit 400 Go d'écritures disque... la fenêtre Firefox s'ouvre mais ne répond jamais ! Entre 4 000 et 6 000 extensions actives certes mais les sites web ne chargent plus (une des extensions bloque tout mais laquelle ??). Bref, plus grand-chose ne répond à part le about:addons.

6 mois plus tard, Jack retente alors l'opération avec une VM. 84 194 extensions chargées, en 1h43 auquel s'ajoute 39 minutes pour que Firefox réécrive le fichier extensions.json (qui pèse du 189 Mo), +24 minutes avant que le navigateur affiche quoi que ce soit, avec une consommation mémoire stabilisée vers 32 Go. La cause du ralentissement est chirurgicale... En fait Firefox sérialise extensions.json en entier à chaque écriture donc ça marche nickel pour 15 extensions mais pour 84 194, c'est pas le même délire.

Le plus intéressant après, c'est pas la démarche elle-même, c'est surtout ce que ça révèle sur le store de Mozilla. En effet, après analyse, 34,3 % des extensions n'ont aucun utilisateur quotidien. 19 % sont totalement abandonnées, sans user, sans review ni capture écran, et encore moins une icône. Y'a aussi des contributeurs un peu chelous comme un certain "Dr. B" qui a publié à lui seul 84 extensions, toutes générées avec Grok 3.

Et puis il y a aussi des extensions de phishing crypto avec des homoglyphes cyrilliques . L'extension malveillante "Іron Wаllеt" par exemple récupère ses URLs depuis un NocoDB trois secondes après installation. Le groupe Innover Online Group contrôle à lui seul plus de 700 000 utilisateurs via un paquet d'extensions de spam affilié sur Yahoo Search. Mozilla en a pour le moment désactivé 3 dans la foulée.

Autre moment drôle : Windows Defender a flaggé HackTools comme cheval de Troie alors que c'est légitime. Y'a aussi la plus grosse extension installée, dmitlichess, qui pèse 196 Mo car elle embarque 2 000 fichiers audio), et la plus petite fait 7 518 octets... sans contenir une seule ligne de code. Bref, y'a des pépites.

Et Jack a publié son dataset en CC0 sur Hugging Face sans oublier que son code est dispo donc si vous avez 50 Go à cramer et envie de faire joujou avec l' écosystème Firefox , servez-vous !

Bref, un Firefox lancé avec TOUTES les extensions du store Mozilla, ça fonctionne techniquement, mais c'est loin d'être utilisable. Mais après pour faire de l'analyse et des stats, je trouve ça marrant.

Source

L'IA Claude Mythos (Preview) est parvenue à identifier 271 vulnérabilités dans le code source de Firefox, désormais patchées avec Firefox 150.

Le post Claude Mythos a découvert 271 failles de sécurité dans Firefox a été publié sur IT-Connect.

Le nouveau Mozilla Firefox 150 apporte plusieurs nouveautés, notamment au sein du lecteur PDF, de la vue scindée, ou encore de la gestion des accès au réseau.

Le post Firefox 150 est disponible : découvrez les nouveautés principales a été publié sur IT-Connect.

Six ans. C'est le temps qu'il aura fallu à Mozilla pour changer d'avis sur l'API Web Serial. Firefox Nightly 151 l'intègre désormais, avec activation via un flag à aller chercher dans le menu. Le premier commit côté code date de mi-janvier, et le déploiement pour les utilisateurs Nightly est effectif depuis le 13 avril.

Pour ceux qui ne connaissent pas, Web Serial est l'API standardisée qui permet à une page web de communiquer directement avec un périphérique série connecté en USB, en Bluetooth ou via un vrai port série.

Imprimante 3D, Arduino, carte ESP32, débogueur JTAG, microcontrôleur industriel, hub domotique, tout ce qui expose une liaison série peut être piloté depuis du JavaScript. C'est par exemple ce qui fait tourner l'IDE Arduino en ligne, Espruino, les flasheurs ESP dans le navigateur, et une bonne partie de la scène maker moderne.

Chrome, Edge, Opera et Vivaldi supportent Web Serial depuis 2020. Firefox, lui, tenait une position claire, trop risqué, le consentement utilisateur ne protège pas assez, la surface d'attaque sur le matériel connecté est bien trop large.

Un ingénieur de Mozilla l'avait écrit noir sur blanc à l'époque. Les utilisateurs Firefox qui bidouillaient avec des cartes électroniques étaient de fait poussés sur Chrome ou sur une extension tierce bancale. En 2026, Mozilla rend les armes et aligne Firefox sur le reste de l'écosystème, Apple mis à part.

Apple, justement, reste fermement opposé à Web Serial, WebUSB et WebHID côté WebKit. Les arguments avancés sont les mêmes qu'à l'époque Mozilla, fingerprinting, sécurité, risques sur l'OS.

Safari n'intégrera pas l'API dans un avenir prévisible. Donc en pratique, si vous avez une webapp qui dialogue avec du matos, iOS et iPadOS restent hors-jeu pour cet usage.

Côté permissions, Web Serial exige une validation utilisateur explicite pour chaque périphérique, avec une fenêtre de sélection gérée par le navigateur. Le site ne peut pas lister les ports disponibles sans action.

C'est un garde-fou correct, mais qui ne supprime pas le risque de phishing physique (un site malveillant qui vous demande de sélectionner un périphérique sous un prétexte bidon).

Pour les makers, l'arrivée dans Firefox est une vraie bonne chose. Ça fait un navigateur supplémentaire pour flasher un ESP depuis le web, une option pour ceux qui refusent Chrome par principe, et un moins gros verrou à faire sauter pour les tutoriels d'électronique amateur. La version stable devrait arriver dans quelques mois si les retours Nightly sont propres.

Bref, Firefox s'aligne, Apple s'isole, et la bidouille matérielle reprend ses droits dans le navigateur, tout va bien.

Source : The Register

La version 149 de Firefox est sortie. Elle intègre un VPN maison, dès à présent disponible pour les internautes en France. Son activation est simple, mais nécessite de franchir quelques étapes préalables.

Mozilla va lancer un VPN gratuit directement intégré à son navigateur. Prévu pour le 24 mars 2026 avec la mise à jour Firefox 149, ce nouvel outil promet de protéger votre navigation avec une enveloppe de 50 Go par mois.

Au programme de Firefox 149, un VPN gratuit avec un forfait de 50 Go de données par mois, et d'autres petites nouveautés comme l'affichage scindé.

Le post Firefox 149 intègre un VPN gratuit avec 50 Go de données par mois a été publié sur IT-Connect.

Source

Source