Google Chrome va corriger une faille de la navigation privée

Mathieu Chartier Actualités web 0 commentaire

Mode incognito et navigation privée dans Google Chrome

Google Chrome est le navigateur leader sur le Web mais n'en fait pas moins la cible de certains sites mal intentionnés. Le système de navigation privée offert par le navigateur est très apprécié des utilisateurs et repose notamment sur la désactivation de l'API FileSystem de l'outil, mais certains petits malins contournent cette limitation à mauvais escient. Google Chrome prend donc le taureau par les cornes et va régler la faille d'ici à la fin du mois de juillet 2019.

La faille n'intervient pas réellement sur le plan de la sécurité pour une fois, mais plutôt sur une méthode malicieuse pour soutirer des clics ou de l'argent aux utilisateurs qui préfèrent naviguer en mode incognito. En effet, pléthores d'usagers apprécient la navigation privée car elle leur offre une forme de tranquillité, avec moins de dépôts de cookies ou de traces dans l'historique de navigation. Techniquement, Google Chrome désactive notamment son API FileSystem, qui laisse habituellement les traces des usages et parcours utilisateurs dans le système. Ainsi, aucune de ces traces n'est conservée et l'utilisateur peut circuler dans la Toile sans risque.

Seulement voilà, de nombreux sites malencontreux vérifient la disponibilité ou non de l'API FileSystem, et l'usage ou non du navigateur Chrome. Ainsi, ils peuvent déduire que les utilisateurs de l'outil de Google sont en navigation privée sur l'API retourne une erreur. C'est simple comme bonjour, et ça permet donc de conditionner l'affichage des pages selon leur bon vouloir. Généralement, les sites en question intègre un paywall (sorte de blocage de la page qui demande une contrepartie, sous financière, pour continuer la navigation) pour les usagers passant par la navigation privée. En somme, vous devez "payer" si vous êtes en privé, et pas si vous êtes en navigation normale (car nous pouvons supposer que ces sites en profitent pour capter des informations intéressantes à leurs yeux dans ce cas).

En revanche, certains cas expliquent pourquoi le système de détection de l'API FileSystem est intéressant. La presse en ligne, par exemple, aime à offrir "x" articles consultables par jour, par semaine ou par mois. Pour ce faire, les sites de presse de ce type déposent un cookie qui est destiné à comptabiliser le nombre d'articles consultés dans la période. Avec la navigation privée, de nombreux utilisateurs profitent de l'oubli de nombreux cookies pour réinitialiser le compteur. C'est pourquoi des développeurs ont opté pour la détection de la navigation privée. Toutefois, cette technique a ses limites puisqu'un utilisateur pourrait très bien passer par un proxy, par un VPN (même gratuit comme TunnelBear voire WindScribe) pour réinitialiser le compteur. D'autres techniques permettraient pourtant d'offrir une limitation avec moins de problèmes de ce type (par exemple : inscription gratuite pour consulter notamment, car se baser sur une IP veut dire que toute une famille est limitée en termes de consultation, et non pas chaque personne...).

Le 30 juillet sortira Google Chrome 76, et cette version devrait modifier le comportement de l'API FileSystem pour contourner le problème de détection utilisé par les malfaisants. Dès lors, le système va empêcher la détection des personnes en navigation privée (mode incognito). Et Google prévient : si d'autres moyens sont trouvés à l'avenir, le navigateur sera à nouveau mis à jour pour éviter ces moyens de détection. Les éditeurs de sites web sont donc prévenus...