La démarche NIRD

Problème: Empécher la personnalisation à outrance du navigateur

Pour la plupart des usages de nos élèves, nous devons limiter l’utilisation du navigateur à des fins pédagogiques. Pour cela, plusieurs méthodes existent:

• Utiliser un profil particulier;
• effacer les configurations personnelles à chaque déconnexion;
• utiliser l’outil Stratégies de firefox.

Solution

Nous détaillons ici l’usage de l’outil Stratégies pour proposer:

• une configuration commune à tous les profils;
• une personnalisation poussée des fonctionnalités et de l’apparence du navigateur;
• une gestion centralisée des paramètres;
• une méthode résistante aux différentes mises à jour.

Mise en place (sous GNU/linux)

On commence par créer le fichier /etc/firefox/policies/policies.json, avec les droits rw-r--r-- (644). On peut ensuite copier dedans le contenu JSON qui suit et l’adapter à ses besoins:

{
    "policies": {
        "AutofillAddressEnabled": false,
        "AutofillCreditCardEnabled": false,
        "BlockAboutConfig": true,
        "BlockAboutAddons": true,
        "BlockAboutProfiles": true,
        "BlockAboutSupport": true,
        "DisableFirefoxAccounts": true,
        "DisableFormHistory": false,
        "DisableSetDesktopBackground": true,
        "DontCheckDefaultBrowser": true,
        "OfferToSaveLogins": false,
        "PasswordManagerEnabled": false,
        "SanitizeOnShutdown": {
                "Cache": true,
                "Cookies": false,
                "FormData": false,
                "History": true,
                "Sessions": true,
                "SiteSettings": true,
                "Locked": true
            },

        "ExtensionSettings": {
            "uBlock0@raymondhill.net": {
                    "installation_mode": "force_installed",
                    "install_url": "https://addons.mozilla.org/firefox/downloads/latest/ublock-origin/latest.xpi"
                }
        },

        "OverrideFirstRunPage": "https://votre-lycee.fr/",
        "DisplayBookmarksToolbar": "always",
        "NoDefaultBookmarks": true,
        "Bookmarks": [
                {
                    "Title": "ENT",
                    "URL": "https://votre-ent.tld/",
                    "Placement": "toolbar"
                },
                {
                    "Title": "Vie scolaire",
                    "URL": "https://client-web.tld/",
                    "Placement": "toolbar"
                }
                ],

        "FirefoxHome": {
                "Search": true,
                "TopSites": false,
                "SponsoredTopSites": false,
                "Highlights": false,
                "Pocket": false,
                "Stories": false,
                "SponsoredPocket": false,
                "SponsoredStories": false,
                "Snippets": false,
                "Locked": true
            },
        "Homepage": {
                "URL": "https://votre-lycee.tld/",
                "Locked": true,
                "StartPage": "none"
            }
    }
}

Détails des clés

Clés pour la personnalisation invisible

"AutofillAddressEnabled": false,
"AutofillCreditCardEnabled": false,

Ces deux clés permettent d’empécher firefox de pré-remplir les champs détectés comme Adresse ou Carte de crédit. Pourquoi désactiver ? -> On peut supposer que dans un lycée on n’aura pas besoin de ces informations monétaires ou personnelles.

"BlockAboutConfig": true,
"BlockAboutAddons": true,
"BlockAboutProfiles": true,
"BlockAboutSupport": true,

Ces quatres clés permettent d’empécher l’accès aux paramètrages du navigateur. Pourquoi désactiver ? -> Pour que seuls les paramétrages de la stratégie (policy) soient en place et qu’ils soient toujours les mêmes.

BlockAboutAddons ? -> Bloquer les extensions permet d’empécher l’ajout de thèmes ou de fonctionnalités non voulues,on pourra le passer à false pour une salle ayant besoin d’extensions spécifiques.

"DisableFirefoxAccounts": true,

Enlève l’intégration des comptes firefox, notamment la synchronisation des marques pages. Pourquoi désactiver ? -> cette fonctionnalité est souvent inutilisée, on réduit la charge de compréhension en la cachant.

"DisableFormHistory": true,

Désactive l’historique des formulaires, permet notamment que plusieurs personnes utilisent la même session sans voir ce que les autres ont tapés. Pourquoi désactiver ? -> Dans un cadre de session partagée, cela sécurise. Par contre si les sessions sont distinctes, on pourra le passer à false car l’historique est spécifique à la session.

"DisableSetDesktopBackground": true,

Désactive le changement de fond d’écran depuis le navigateur. Pourquoi désactiver ? -> On garde un environnement neutre, non personnalisé dans l’établissement.

"DontCheckDefaultBrowser": true,

Désactive le dialogue pour vérifier que le navigateur est celui par défaut. Pourquoi désactiver ? -> Si plusieurs navigateurs sont installés, on ne cherche pas à en utiliser un en particulier.

"OfferToSaveLogins": false,
"PasswordManagerEnabled": false,

Empêche la sauvegarde des mots de passes et les dialogues correspondants. Pourquoi désactiver ? -> Les mots de passes sont stockés en clair dans la session, on enlève une faille de sécurité ici.

"SanitizeOnShutdown": {
    "Cache": true,
    "Cookies": false,
    "FormData": true,
    "History": true,
    "Sessions": false,
    "SiteSettings": true,
    "Locked": true
},

Ces clefs permettent de définir ce qui sera supprimé à la fermeture du navigateur:

• le cache comprend les images et sites préchargés, pour un rechargement plus rapide. Le laisser peut empècher de voir les modifications récentes sur un site.
• les cookies comprennent entre autre l’authentification sur les sites, on peut les supprimer mais cela obligera alors tout le temps à se reconnecter.
• les FormData sont ce qui est tapé dans les formulaires, les supprimer permet de ne pas pouvoir récupérer des données sur une session partagée.
• l’historique permet de retrouver les sites utilisés, mais devient rapidement peu navigable.
• les sessions permettent aussi de garder les connexions à des sites, on peut les considérer comme les cookies.
• les siteSettings sont les préférences, notamment en terme de permissions, pour chaque site.
• Locked permet d’empécher la modification de ces paramètres.

Clés pour la personnalisation des extensions

"ExtensionSettings": {
    "uBlock0@raymondhill.net": {
        "installation_mode": "force_installed",
        "install_url": "https://addons.mozilla.org/firefox/downloads/latest/ublock-origin/latest.xpi"
    }
},

Cette clé permet de préinstaller des extensions dans le navigateur, pour cela on doit connaitre:

• l’identifiant de l’extension (uBlock0@raymondhill.net), trouvable sur cette url: about:debugging#/runtime/this-firefox si vous avez installé manuellement l’extension.
• son url d’installation (https://...), de la forme : https://addons.mozilla.org/firefox/downloads/latest/extension/latest.xpi si vous installez depuis les extensions connues.

Clés pour la personnalisation visible

        "OverrideFirstRunPage": "https://votre-lycee.fr/",
        "DisplayBookmarksToolbar": "always",
        "NoDefaultBookmarks": true,
        "Bookmarks": [
                {
                    "Title": "ENT",
                    "URL": "https://votre-ent.tld/",
                    "Placement": "toolbar"
                },
                {
                    "Title": "Vie scolaire",
                    "URL": "https://client-web.tld/",
                    "Placement": "toolbar"
                }
                ],

        "FirefoxHome": {
                "Search": true,
                "TopSites": false,
                "SponsoredTopSites": false,
                "Highlights": false,
                "Pocket": false,
                "Stories": false,
                "SponsoredPocket": false,
                "SponsoredStories": false,
                "Snippets": false,
                "Locked": true
            },
        "Homepage": {
                "URL": "https://votre-lycee.tld/",
                "Locked": true,
                "StartPage": "homepage-locked"
            }

Les clés précédentes permettent de configurer la page de lancement de firefox (OverrideFirstRunPage), les marques pages par défaut (Bookmarks) et la page d’accueil (HomePage). Vous pouvez adapter les URL pour votre établissement.

Pour plus de détails:

Se baser sur https://firefox-admin-docs.mozilla.org/reference/policies/