Menu Fermer

Comment bloquer les web fonts pour améliorer la confidentialité

Cette entrée fait partie d'une série de 21 sur 21 dans la série Le pistage sur internet : Le dossier

Pour afficher des textes, les sites internet ont aussi la possibilité d’utiliser des polices de caractères.
Utiliser une police disponible sur la majorité des appareils des utilisateurs ou utiliser des polices de caractères disponibles sur le WEB (web fonts), qui ne sont pas installées sur l’appareil de l’utilisateur.

Les polices Web personnalisées, telles que Google Fonts, offrent aux concepteurs Web davantage d’options en matière d’affichage de texte sur les sites Web, mais elles nécessitent que les visiteurs les téléchargent lorsqu’ils se connectent au site. La mise en cache est généralement utilisée pour éviter que les polices soient téléchargées à chaque visite de page.

Le revers est que certains services, comme Google Fonts peut pister les internautes à travers leurs utilisations.
Dans ce tutoriel, je vous explique comment loquer les web fonts pour améliorer la confidentialité.

Comment bloquer les web fonts pour améliorer la confidentialité

Pourquoi bloquer les web fonts ?

Les performances sont l’inconvénient le plus évident, car une demande doit être faite au serveur qui héberge la police pour la télécharger. Bien que cette opération soit généralement rapide, elle ajoute encore au temps de chargement. Des problèmes avec le serveur peuvent également entraîner des problèmes de chargement sur le site. Les utilisateurs qui disposent d’un budget de bande passante serré ou de connexions très lentes sont ceux qui bénéficient le plus du blocage.

Le respect de la vie privée est le deuxième facteur. Étant donné que les demandes sont adressées à des serveurs, par exemple les serveurs de Google qui hébergent les polices de l’entreprise, des informations telles que l’adresse IP sont automatiquement transmises. Toutes les organisations qui hébergent des polices Web n’utilisent pas ces informations pour suivre les utilisateurs, mais il y a toujours un risque que cela se produise.

En Allemagne, un site WEB a été condamnée car ils utilisaient les Googles Fonts et cela fuitaient les adresses IP des visiteurs. Cela n’est pas conforme au RGPD.
La source : Website fined by German court for leaking visitor’s IP address via Google Fonts

Le blocage total des polices Web peut entraîner des problèmes d’affichage sur certains sites. Les sites qui s’appuient uniquement sur les polices d’écritures web, sans avoir de solution de repli en place, peuvent ne pas s’afficher correctement.

Comment bloquer les web fonts (Polices de caractères distantes)

Avec localCDN

LocalCDN est une extension pour Firefox et Chrome qui émule les frameworks distants (par exemple jQuery, Bootstrap, AngularJS) et les fournit en tant que ressource locale.
Cela empêche les requêtes tierces inutiles aux CDN Google, StackPath, jsDelivr/MaxCDN, NetDNA et plus encore.

Ainsi les polices seront prises localement et non sur les serveurs en ligne.
Vous gagnez en performances mais aussi en confidentialité car aucune requête en ligne ne sera effectuée.
Enfin, les polices de caractères continueront de s’afficher correctement.

Avec uBlock

uBlock est un bloqueur de publicités très populaire.
Ce dernier est très paramétrable et vous permet de filtrer la plupart des contenus d’une page WEB.
Une fonction est disponible pour filtrer et bloquer les polices de caractères distantes.

  • Ouvrez le Tableau de bord d’uBlock Origin
Ouvrir le tableau de bord d'uBlock Origin
  • Puis allez dans l’onglet Mes Filtres
  • Ajoutez le filtre suivant afin de bloquer le téléchargement de polices WEB
*$font,third-party
Comment bloquer les web font avec uBlock Origin
  • cliquez sur Appliquer pour prendre en compte le nouveau filtre

Pour bloquer les polices d’un site en particulier, utilisez la syntaxe suivante :

*$font,third-party,domain=~exemple.com|~exemple2.net

Enfin il existe une liste de blocage spécifique que vous pouvez ajouter si besoin : https://fanboy.co.nz/fanboy-antifonts.txt

Sur Google Chrome ou Edge

Google Chrome peut interdire le téléchargement de polices distantes en ajoutant un paramètre dans le raccourci de lancement.

  • Faites un clic droit sur l’icone de raccourci de Google Chrome
  • Puis Propriétés
Ouvrir les propriétés du raccourci de Google Chrome
  • Puis dans cible à la fin, ajoutez le paramètre :
--disable-remote-fonts
  • Validez sur OK
Ouvrir les paramètres avancés de polices sur Google Chrome

Il existe aussi deux extensions qui désactive ou bloque les web fonts :

Sur Firefox

Le navigateur internet Mozilla Firefox possède un paramètre qui peut s’avérer utile. Introduit dans Firefox 41, il permet à Firefox de définir des polices spécifiques pour les sites Web visités.

  • Cliquez en haut à droite sur le bouton 
  • Puis Paramètres
Ouvrir les paramètres sur Mozilla Firefox
  • Faites défiler l’écran jusqu’à la section Polices et sélectionnez le bouton Avancé
Ouvrir les paramètres avancés de polices sur Mozilla Firefox
  • Décochez Autoriser les pages à choisir leurs propres polices, au lieu de votre sélection ci-dessus. Vous devrez peut-être faire défiler la fenêtre pour voir l’option.
  • Sélectionnez OK
Comment bloquer les web font sur Mozilla Firefox

Les utilisateurs confirmés de Firefox peuvent définir les préférences gfx.downloadable_fonts.enabled et gfx.downloadable_fonts.woff2.enabled sur false dans about:config pour bloquer les polices téléchargeables dans le navigateur internet.

Comment bloquer les web font sur Mozilla Firefox

Enfin il existe aussi l’extension Enforce Browser Fonts disponibles seulement pour Firefox.
On en parle sur le forum à cette adresse : Bloquer les polices WEB distantes (web fonts)