Firefox dans Docker - Le navigateur jetable pour surfer sans flipper9 juillet 2026 à 08h42 / PAR KORBEN ✨ / 6 MIN DE LECTURE /Catégories connexes Écouter cet article ~ 8 minCe qu’il faut retenirLinuxServer propose une image Docker de Firefox isolé, accessible via navigateur HTTPS, où les liens suspects s'ouvrent dans une session jetable totalement coupée du système hôte (pas d'accès aux fichiers personnels, cookies, extensions).L'activation de HARDEN_DESKTOP=true est critique car sans elle, l'interface web embarque un terminal avec sudo sans mot de passe, donnant accès root au conteneur en deux clics.SealSkin, une extension navigateur, détourne automatiquement les liens suspects vers le Firefox conteneurisé au lieu de les ouvrir manuellement, rendant l'isolation permanente par défaut.Résumé généré par IAOn reçoit tous des mails un peu bizarres avec des liens qu'on n'ose pas ouvrir, et pourtant on est curieux, on est tenté parfois... C'est difficile de résister mais heureusement l'équipe de Linuxserver.io a pondu un truc super pour ça.Il s'agit tout simplement d'une instance de Firefox qui tourne dans un conteneur Docker et qui est totalement pilotable depuis votre navigateur habituel.Comme ça, quand vous recevez un lien louche que vous voulez ouvrir, vous le mettez là-dedans, dans une session jetable qui est totalement coupée de votre vraie machine. Et comme ça, si ça part en couille, vous butez le conteneur et on n'en parle plus.Voilà, ça se présente juste comme une page HTTPS avec un navigateur dedans.

Et comme c'est LinuxServer qui maintient l'image, vous êtes tranquille parce que c'est du sérieux.L'avantage d'avoir ce truc, c'est qu'un Firefox en conteneur ne voit ni votre répertoire personnel, ni vos cookies, ni vos sessions Google, ni vos extensions, absolument rien, il est totalement isolé. Donc si un site tente un drive-by download ou un exploit navigateur, eh bien en principe les dégâts resteront coincés dans le conteneur. Et le simple fait de le redémarrer remettra tout à 0.Attention quand même, un conteneur, ce n'est pas une machine virtuelle.

Une vulnérabilité au niveau du noyau pourrait en théorie s'en échapper. Mais c'est pas le genre d'attaque qui se fait avec juste un clic douteux sur une page web.Les chercheurs en sécu s'en servent pour ouvrir des pièces jointes chelou, les marketeux pour jongler avec 12 comptes ad sans cookie cross-tracking, et les paranos dans mon genre pour cliquer sur les liens des mecs bizarres de Discord sans rien flinguer chez eux.Après y'a des petits inconvénients. Je pense aux perfs graphiques qui prennent une claque par rapport à un Firefox natif ou encore l'audio qui transite par le pipeline du navigateur, du coup ça crachote parfois sur les vidéos lourdes.

Le copier-coller marche, mais en passant par la section presse-papiers de la barre latérale Selkies , pas en direct. Et la persistance ne tient que si vous mappez le volume /config comme il faut, sinon vos onglets et vos bookmarks gicleront dès que le conteneur sera recréé (à la première mise à jour d'image, typiquement).Côté vie privée c'est plutôt une qualité mais pour un usage quotidien, ça peut devenir relou.Installation en une commandeL'image officielle, c'est lscr.io/linuxserver/firefox:latest. Elle tourne sur Selkies depuis juin 2025 (avant c'était KasmVNC) et démarre en Wayland par défaut depuis mars 2026.

Maintenant, si un site part en vrille à cause de ça, vous ajoutez le paramètre PIXELFLUX_WAYLAND=false à la commande Docker et vous serez de retour en X11.La commande minimale ressemble à ça :docker run -d \ --name=firefox \ -e PUID=1000 \ -e PGID=1000 \ -e TZ=Europe/Paris \ -e LC_ALL=fr_FR.UTF-8 \ -p 3001:3001 \ -v $HOME/firefox-config:/config \ --shm-size=1gb \ --restart unless-stopped \ lscr.io/linuxserver/firefox:latest Le --shm-size=1gb, c'est la mémoire partagée de Docker et vous n'y couperez pas, désolé. Si vous le zappez, YouTube comme les sites un peu lourds vous planteront le navigateur. Le port 3001, c'est l'accès HTTPS, avec un certificat auto-signé qui fera râler votre Firefox principal (c'est normal, faut l'accepter).

Y'a aussi un port 3000, mais lui c'est du HTTP en clair, à réserver derrière un reverse proxy genre SWAG et rien d'autre.Ensuite, direction https://localhost:3001/ et un joli Firefox vous attend. Notez que par défaut, il n'y a AUCUNE authentification. Personne ne vous demande rien, alors si vous voulez l'exposer sur votre réseau, définissez bien un CUSTOM_USER et PASSWORD pour activer le basic auth avant qu'un petit malin de votre réseau ne tombe dessus.La version docker-compose, plus propreEnvie d'un setup versionnable, que vous pouvez reproduire ailleurs sans réfléchir ?

Le compose fait ça mieux :--- services: firefox: image: lscr.io/linuxserver/firefox:latest container_name: firefox environment: - PUID=1000 - PGID=1000 - TZ=Europe/Paris - LC_ALL=fr_FR.UTF-8 - CUSTOM_USER=korben - PASSWORD=changezmoi - HARDEN_DESKTOP=true - HARDEN_OPENBOX=true volumes: - ./firefox-config:/config ports: - 3001:3001 shm_size: "1gb" restart: unless-stopped Ensuite, un docker compose up -d et roulez jeunesse. Le volume ./firefox-config conserve votre profil entre deux redémarrages avec bookmarks, extensions installées depuis le store Mozilla, tout reste en place.Et si vous avez envie de repartir de zéro, on met le dossier à la poubelle, on relance, et voilà. Et pour glisser des outils tiers dans le conteneur (filezilla, un éditeur, ce genre de bidule), [proot-apps install](https://github.com/linuxserver/proot-apps) les posera dans $HOME, où ils survivront aux mises à jour de l'image.Le hardening qu'il faut absolument activerMaintenant, le piège que la doc évoque du bout des lèvres et qui mérite d'être écrit en gros c'est que l'interface web embarque un terminal avec sudo passwordless.

Traduction, quiconque accède à votre Firefox conteneurisé devient root dans le conteneur en deux clics. Exposez ça sur votre réseau, ou pire sur Internet, sans durcir le machin, et vous ouvrez un boulevard.La parade tient en une variable : **HARDEN_DESKTOP=true**, qui pose les principaux verrous d'un coup. Ça coupe sudo, ça vire les terminaux, et ça bloque xdg-open et exo-open, qui pourraient lancer des trucs hors conteneur.

Vous pouvez empiler ça avec HARDEN_OPENBOX=true par-dessus, histoire de neutraliser les raccourcis clavier dangereux genre Alt+F4, de désactiver le clic droit et de masquer le bouton de fermeture. Firefox reste parfaitement utilisable, mais impossible de s'évader pour faire mumuse avec le système derrière.Et pour une exposition sur Internet, le basic auth CUSTOM_USER/PASSWORD ne suffira pas car c'est trop léger. Moi ce que je vous recommande, c'est de coller le tout derrière un reverse proxy SWAG avec une vraie couche OAuth2 ou Authelia.

Le basic auth, gardez-le pour le LAN entre potes ou collègues de confiance, mais pas au-delà.SealSkin, le bonus qui change toutSealSkin , c'est la cerise sur le conteneur ^^. C'est une extension navigateur, dispo pour Chrome et Firefox, qui monte la garde sur votre navigateur principal et détourne ce qui sent mauvais vers le conteneur isolé. Un lien repéré comme suspect ?

Hop, il s'ouvre direct dans le Firefox conteneurisé. Pareil pour les téléchargements, qui atterrissent dans le conteneur au lieu de finir sur votre machine.Du coup, l'isolation devient un réflexe permanent au lieu d'un machin que vous activez à la main quand vous y pensez (c'est-à-dire jamais). Seule contrainte par contre, faudra héberger le serveur SealSkin vous-même, et installer l'extension dans votre vrai Firefox.

Mais vous verrez, après quelques jours à ce régime, vous aurez du mal à faire autrement.Et sur tablette ou mobile ?J'imagine que vous comptiez sur l'ancien tag kasm pour le tactile ? Eh bien c'est raté, puisque LinuxServer l'a déprécié début juillet. En échange, la barre latérale Selkies embarque désormais un trackpad virtuel et un clavier à l'écran, donc de quoi rendre l'interface utilisable depuis un iPad ou un smartphone sans bidouille en plus.

On reste loin, c'est vrai, du confort d'un vrai desktop, et taper Ctrl+Tab au doigt c'est toujours la misère, mais pour dépanner ça fait le job.Et voilà, votre Firefox jetable vit désormais dans son petit conteneur, bien au chaud. Comme ça, le prochain lien douteux, vous l'ouvrirez sans trembler... pour tester des sites au calme, difficile de trouver mieux, je pense. Ajouter Korben à messources préféréesRéférenceshttps://docs.linuxserver.io/general/swag/Cet article peut contenir des images générées à l'aide de l'IA - J'apporte le plus grand soin à chaque article, toutefois, si vous repérez une boulette, faites-moi signe !Sponsorisé Suivez la Coupe du Monde 2026 partout ⚽Avec Surfshark, regardez tous les matchs en français avec vos commentateurs habituels, même en déplacement à l'étranger.

Connexion rapide et sécurisée sur tous vos appareils.J'en profite La clé de la réussite pour votre TPE/PME : les nouvelles offres o2switchContenu partenaireVous cherchez un hébergement web professionnel pour propulser votre entreprise ? Ne cherchez plus.Avec les nouvelles offres de o2switch, offrez à votre TPE/PME l'hébergement qu'elle mérite pour viser les sommets.Choisissez l'offre qui vous convient : Cloud avec 12 CPU et 48 Go de RAM à 1,86 € HT/mois, ou Pro avec 24 CPU et 64 Go de RAM à 6,25 € HT/mois. Stockez sans compter grâce à l'espace disque illimité en NVMe.

Soyez serein avec des sauvegardes jusqu'à 90 jours (selon l'offre) et un support prioritaire 24/7 (N2 à N2+3 selon l'offre).Pilotez votre activité en ligne du bout des doigts, sans connaissances techniques, via l'interface cPanel. Site web, outils, emails... tout est centralisé !Le meilleur dans tout ça ? Les offres démarrent à seulement 1,86 € HT/mois.

C'est le moment d'offrir à votre entreprise l'hébergement qu'elle mérite pour décoller. Avec o2switch, dites adieu aux problèmes techniques et bonjour à la croissance !Découvrez les nouvelles offres o2switch