En mettant à jour son navigateur web Chrome en version 76, Google espérait bien pouvoir mettre un terme à la détection de la navigation privée. Cette pratique discutable était utilisée par certains sites web pour empêcher leurs visiteurs d’accéder à leur contenu de manière illimitée.
La navigation privée pour contourner certains paywall
Prévue pour offrir une navigation sans trace, la navigation privée permet de surfer sur la toile sans qu’aucun historique de navigation ne soit conservé, mais surtout sans qu’aucun cookie ne soit enregistré sur votre machine.
Seul problème, sans l’enregistrement de ces fameux cookies sur votre machine, les éditeurs de contenus ne peuvent pas comptabiliser votre nombre de visites. Vous avez très certainement déjà eu affaire à un site limitant la lecture gratuite de son contenu à cinq articles par mois, avec l’obligation de s’acquitter d’un péage numérique pour aller au-delà.
Pour empêcher l’utilisation de la navigation privée, certains sites web comme le New York Times ou le Financial Times, ont intégré un script permettant de détecter l’utilisation du mode incognito de Chrome par leurs visiteurs afin de les empêcher d’accéder à leur contenu gratuit de manière illimitée.
Pour fonctionner, ce script s’assurait simplement de la présence, ou non, d’une certaine API, activée en navigation classique, mais absente du mode incognito. Ainsi, lorsque le site consulté ne détectait pas la présence de cette API, il savait que l’utilisateur utilisait la navigation privée. Pour empêcher cette détection, Google a donc fait le choix d’implémenter cette API aussi bien en navigation classique qu’en navigation privée.
Pour compléter sa correction, il a également été décidé que l’API FileSystem n’utilise plus le stockage libre du disque pour stocker les fichiers temporaires en mode incognito, mais s’appuie uniquement sur la RAM afin qu’elle soit nettoyée automatiquement à la fin de chaque session.
Une rustine insuffisante qui ouvre la voie à deux nouvelles méthodes de détection
Malheureusement, le répit aura été que de courte durée puisque deux nouvelles méthodes de détection de la navigation privée ont été dévoilées.
La première, découverte par Vikas Mishra, un chercheur en sécurité, s’appuie directement sur le choix d’utiliser la RAM plutôt que le support de stockage classique pour y stocker les fichiers temporaires. Comment ? En se basant simplement sur la quantité de stockage disponible allouée au navigateur. Le chercheur en sécurité explique, en effet, qu’en navigation privée, Chrome alloue un quota maximum de 120 Mo.
En s’appuyant sur cette donnée, il a pu générer un script qui, une fois en place sur un site web, est capable de demander au navigateur du visiteur la quantité de mémoire allouée aux fichiers système. Si la réponse renvoyée s’approche de 120 Mo ou moins, Google Chrome est en navigation privée.
Mesurer la vitesse de la mémoire
La seconde méthode, dévoilée par Jesse Li, un autre chercheur en sécurité, s’appuie quant à elle sur la vitesse d’accès au support de stockage sur lequel sont stockés les fichiers temporaires.
La RAM étant par nature toujours plus rapide qu’un disque classique, la simple mesure de la vitesse d’écriture des fichiers temporaires suffit à savoir si le visiteur utilise la navigation privée de Chrome. Ainsi, un site qui souhaiterait détecter l’utilisation de la navigation privée pourrait simplement exécuter un script lançant une mesure de vitesse de lecture/écriture.
Deux méthodes de détection déjà exploitées
BleepingComputer révèle par ailleurs que les sites utilisant la détection de la navigation privée ont d’ores et déjà mis à jour leurs méthodes de détection depuis la mise à jour de Google Chrome en version 76.
Eric Lawrence, un développeur Microsoft Edge (dont la prochaine mouture s’appuie directement sur Chromium, la version open source de Google Chrome), a récemment publié un tweet montrant que le New York Times utilisait déjà la méthode de détection basée sur la quantité de mémoire allouée aux fichiers temporaires découverte par Vikas Mishra, preuve à l’appui.
Shameless folks. https://t.co/2mhzCyJQoq pic.twitter.com/z7zHlUDqTb
— Eric Lawrence 🎻 (@ericlaw) August 10, 2019
Interrogé par BleepingComputer concernant ces deux nouvelles méthodes de détection de la navigation privée, Google a indiqué continuer de travailler pour contrer les méthodes actuelles et futures de détection du mode incognito de Google Chrome.
Sources : BleepingComputer, Vikas Mishra, Jesse Li
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.