Menu Fermer

NoScript : Filtrer/Bloquer le JavaScript, sécurité et protection vie privée

NoScript est une extension pour les navigateurs WEB Mozilla Firefox et Google Chrome.
Celle-ci vous permet de bloquer le JavaScript et applet Flash et Java d’une page WEB.
Noscript a donc pour objectif d’améliorer la sécurité puisqu’il peut bloquer des scripts malicieux ou de pistage utilisateur (tracking Web) mais aussi peut potentiellement alléger le navigateur WEB puisqu’il va épurer les pages WEB visités.

Initialement NoScript a été conçu pour Mozilla Firefox et a été porté pour Google Chrome, ce tutoriel NoScript sera plutôt destiné à la version Firefox mais le principe reste le même pour les autres versions, seuls la présentation diffère.

Tutoriel NoScript : filtrer le JavaScript, sécurité et protection vie privée

Qu’est-ce-que le JavaScript ?

Avant de commencer, une explication concernant le mot JavaScript, afin de ne pas avoir de confusions.
Les sites WEB sont développés avec divers langages informatiques qui permettent, plus ou moins de faire des choses (animations, vidéo etc).
Un site WEB peut combiner plusieurs langages différents.

Le JavaScript est un de ces langages, qui doit être présent sur presque tous les sites WEB.
Parmi les autres langage, les plus communs, car il y en a vraiment beaucoup et de nouveaux apparaissent et des déclinaisons existent, on trouve :

  • PHP : qui est un autre langage script interprété côté serveur
  • Java : Langage compilé d’Oracle, Java n’a rien à voir avec JavaScript (oui je sais, c’est pas simple). Java n’est pas non plus un langage purement WEB.
  • Flash : Langage d’Adobe qui permet en autre de créer des animations dites Flash. Les bannières publicitaires, jusqu’à peu, utiliser beaucoup les animations Flash mais va être abandonné à cause des problèmes de sécurité mais aussi de performances. Certains sites de streaming utilisent aussi des vidéos en Flash.
  • SilverLight : même chose que Adobe Flash mais créé par Microsoft
  • JavaScript : un langage WEB – plus d’informations, se reporter à la page : JavaScript : qu’est-ce que ? et sécurité et virus
  • HTML5 : c’est la version 5 du langage HTML. En outre, HTML5 permet des animations, les bannières publicitaires et les sites de streaming abandonnent donc Adobe Flash pour HTML5, c’est notamment le cas de Youtube depuis un moment. Le but est au final de se passer des extensions Flash sur les navigateurs WEB.

Pourquoi bloquer JavaScript ? Pourquoi filtrer du contenu avec NoScript ?

La recherche du blocage de certains objets WEB et notamment JavaScript peut s’expliquer essentiellement pour deux raisons : Sécurité & performances.

Avant de vous lancer, sachez que l’extension uBlock Origin fait à peu près la même chose avec le filtrage dynamique. J’en parle dans cet article : uBlock : le filtrage dynamique pour améliorer la vie privée.

Sécurité

Sécurité car les Web Exploits Kit utilisent beaucoup le JavaScript et tentent aussi de charger des applets Java ou Flash malicieuses qui permettent d’infecter les ordinateurs.
Filtrer celles-ci permet donc de bloquer les Web Exploits Kits.

JavaScript peut-être interprété côté navigateur WEB, ce qui peut permettre d’effectuer d’autres attaques.

Par exemple pour ce test de Browser FingerPrinting, comme JavaScript est désactivé, la récupération du Canvas n’est pas possible.
Ainsi vous êtes protégé de ce type de pistage.

NoScript bloque le Browser FingerPrinting

Performances

Performances : Si vous êtes un “vieux”surfeur du net, vous l’aurez surement remarqué, le net a beaucoup changé et les sites WEB aussi : les pages WEB sont de plus en plus chargés.
Les sites d’actualités combinent vidéos (qui se lancent toutes seules), animations publicitaires et compagnie.
Cela a des répercutions au niveau des ressources WEB, puisque une page WEB demande de plus en plus de ressources pour charger cela, surtout si elle est mal conçu (le but de HTML5 est justement de palier un peu à cela).
Ensuite, cela est assez agaçant pour l’utilisateur, qui est constamment sollicité… qui n’a jamais eu un sursaut à cause d’une vidéo qui se lance automatiquement parce que le son de l’ordinateur est fort ?

Exemple de gain de performances

A titre d’exemple, le site lemonde.fr sans NoScript, on se tape une publicité plein écran avec une page contenant des vidéos et publicités :

Tutoriel NoScript : filtrer le JavaScript, sécurité et protection vie privée

Utilisation mémoire environ 380Mo + les applets Flashs :

Tutoriel NoScript : filtrer le JavaScript, sécurité et protection vie privée

La même page avec NoScript activé :

Tutoriel NoScript : filtrer le JavaScript, sécurité et protection vie privée
Tutoriel NoScript : filtrer le JavaScript, sécurité et protection vie privée

Environ 250mo d’utilisation mémoire et Flash ne se lance pas :

Tutoriel NoScript : filtrer le JavaScript, sécurité et protection vie privée

Installer NoScript

L’installation n’est pas compliquée, il suffit de cliquer sur le bouton d’installation de l’extension.
Un redémarrage du navigateur WEB peut-être nécessaire.

Le site Officiel de NoScript : https://noscript.net/

Cliquez sur “Ajouter Firefox” et sur la popup sur le bouton Installer.

Tutoriel NoScript : filtrer le JavaScript, sécurité et protection vie privée

Comment utiliser NoScript

Voici une capture d’écran de la page malekal.com sans NoScript.
L’icône en haut à droite indique le nombre d’éléments bloqués.

On constate que les publicités ne s’affichent pas.
A gauche, se trouve une icône NoScript, j’ai cliqué dessus et un message en bas qui vous indique aussi que le JavaScript est interdit.

Premier démarrage sur NoScript

Plusieurs niveaux existent pour classer les sites visités ainsi que les adresses externes.

  • par défaut : c’est le réglage par défaut pour les sites inconnus (non listés) où la plupart des objets sont bloqués. Certains composants CSS sont alors autorisés.
  • Site Fiable : les objets sont autorisés à s’exécuter mais pas ceux externes.
  • Non fiable il s’agit de la liste noire où vous pouvez placer des sites dangereux
  • Personnalisée : vous réglez vous mêmes les objets qui peuvent être chargés et exécutés

Le principe est simple, par défaut, NoScript bloque tout.
Vous pouvez ensuite autoriser le contenu par domaine, par exemple autoriser le contenu de malekal.com ou googlesyndication.com définitivement ou temporairement.
Pour se faire, il faut classer le site comme Fiable en cliquant sur l’icône S.

Les niveaux et zones de NoScript

Voici les icônes et leurs fonctions de gauche à droite.

  • Place le site en fiable pendant un temps défini
  • Ajoute le site en fiable de manière permanente
  • Place le site en non fiable
  • Permet de donner des accès personnalisé

En haut à droite, on trouve d’autres icônes.
Là aussi, voici leurs utilités de gauche à droite.

  • Désactive les restrictions globales, à utiliser que dans certains cas précis.
  • Désactive les restrictions que pour l’onglet en cours
  • Marquer tous les éléments de cette page comme temporairement fiables. Tout le contenu interne et externe sera alors autorisée.

Quand autoriser un domaine ou page ?

JavaScript peut-être utilisé pour la mise en page d’un site WEB ou fonctionnalité de celle-ci.
Si vous rencontrez des problèmes d’affichage ou encore des dysfonctionnements comme par exemple lorsque vous cliquez sur un bouton, rien ne se passe..
Vous pouvez autoriser le JavaScript de la page ou du site temporairement.
L’activation temporaire est pratique pour les pages externes ou si vous comptez visiter le site qu’une ou deux fois.

Car lorsque vous êtes sur une page, vous avez les scripts du site, par exemple sur www.malekal.com, vous pouvez autoriser malekal.com
mais les pages externes googlesyndication.com est un site externe, en général, les publicités ou les pages de tracking utilisateurs.
Vous n’avez presque jamais besoin d’activer ces pages externes.

Les limites de NoScript ?

NoScript fournit une liste de sites afin de ne pas trop perturber la navigation.
Par exemple, si vous vous rendez sur Youtube tout fonctionne, car les adresses de Google nécessaires à Youtube sont pour certaines en sites fiables.

Les limites de NoScript

Par exemple, ci-dessus, ytimg.com est en site fiable ainsi le JavaScript est autorisé.
Or potentiellement cette adresse peut effectuer du tracking et donc vous ne serez pas protégé.
Par exemple Canvas Defender détecte du pistage provenant de cette adresse autorisée par défaut dans NoScript.

Les limites de NoScript

En clair donc, si le domaine du site visité est en site fiable et que le pistage s’effectue depuis la même adresse, NoScript ne bloquera rien.

NoScript et bloqueurs de publicités ?

Comme vous avez pu le constater, NoScript bloque les sites externes à celui visité.
NoScript peut donc se suffire à lui même notamment pour bloquer la publicité ainsi que tout traqueurs..
Il arrive tout de même que parfois des publicités passent, à vous de voir si vous souhaitez y adjoindre un bloqueur de publicités comme Adblock.

Tutoriel NoScript : filtrer le JavaScript, sécurité et protection vie privée

NoScript ne bloque pas par défaut les publicités sur Youtube car l’adresse qui les diffusent et la même que celles des vidéos.

Pour laisser les publicités s’afficher, se reporter à la page suivante.

Les options de NoScript

NoScript donne une grande possibilité de réglages depuis le menu option.

Les options de NoScript

Notez qu’en haut à droite, les boutons importer/exporter permettent de sauvegarder votre configuration NoScript.
Il est aussi possible de réinitialiser les réglages par défaut si besoin.

L’onglet Général permet de régler les zones et les objets à interdire ou autoriser.

Les options de NoScript

Ensuite l’onglet autorisations par site vous permet de gérer les zones de confiance et non fiable.

Lorsque vous avez ajouté un site dans ces zones, vous le retrouvez dans cette liste.
A partir de là, vous pouvez changer son statut.
Comme la liste est longue, un moteur de recherche est disponible pour retrouver vos sites plus facilement.

Les options de NoScript

Sur Apparence, vous pouvez régler quelques options d’affichage.

Les options d'apparence de NoScript

Enfin l’onglet Avancé donne accès à quelques options pour les utilisateurs confirmés.

Les options avancées de NoScript

Liens connexes

Des alternatives ou équivalents à NoScript existe comme :

Voici quelques liens autour du blocage de contenu sur les navigateurs internet ou de la publicité.

Enfin les liens pour sécuriser ses navigateurs WEB :

Tous les tutoriels sur les navigateurs WEB sur la page : les navigateurs WEB