Si vous êtes utilisateur averti de Google Chrome, vous avez peut-être déjà remarqué que certains sites Web que vous visitez, souvent informatifs, vous empêchent d’accéder au contenu désiré lorsque vous êtes en mode navigation privée. Ces sites Web, a expliqué Google, exploitent une faille de l’API FileSystem pour détecter si vous visitez leurs plateformes en mode navigation privée ou non. Pour mettre fin à cela, Google a annoncé cette semaine qu’à partir de la version 76 de Google Chrome, il renforcera la sécurité de la navigation privée de son navigateur. Les sites Web ne pourront donc plus détecter le type de votre navigation.
La navigation privée est présente dans tous les navigateurs modernes. Ce mode aide les utilisateurs à éviter les cookies indésirables et les suivis dynamiques, mais il est également utile pour lire des articles sur les sites Web de journaux, car certains d'entre eux limitent le nombre d'articles gratuits par jour aux utilisateurs ou bloquent simplement l'accès s'ils sont ouverts en mode de navigation privée. Pour continuer à garantir à ses utilisateurs une bonne expérience de navigation privée, Google a annoncé cette semaine que Chrome 76 supprimera une échappatoire que les sites Web utilisent pour détecter le moment où les utilisateurs utilisent le mode incognito du navigateur.
Comment fonctionne le mode incognito de Google Chrome ?
« Le mode incognito de Chrome repose sur le principe que vous devez avoir le choix de naviguer sur le Web en privé. À la fin du mois de juillet, Chrome remédiera à une faille permettant aux sites de détecter les internautes en mode de navigation privée. Nous souhaitons que vous puissiez accéder au Web en privé, avec l’assurance que votre choix de le faire est également privé. Ces principes sont conformes aux normes Web émergentes pour les modes de navigation privée. Cela affectera certains éditeurs qui ont utilisé cette échappatoire pour dissuader le contournement des compteurs de paiement. Nous voudrions donc expliquer le contexte et le contexte du changement », a écrit Google dans un billet de blog en date de ce jeudi.
Comment certains sites Web parviennent-ils à contourner le mode incognito de Google Chrome ?
Les faits ont révélé qu’au cours de ces deux dernières années, certains sites Web ont exploité une vulnérabilité de l’API FileSystem pour empêcher les internautes de lire des articles lorsque ces derniers utilisent le mode de navigation privée d'un navigateur, afin de maintenir inviolés leurs paywalls. Par exemple, le Boston Globe a commencé à le faire en 2017, en obligeant les utilisateurs à se connecter à des comptes d'abonnés payants pour pouvoir lire en mode privé. Le New York Times, le Los Angeles Times et d'autres journaux imposent des restrictions identiques. Cependant, avec la sortie de Chrome 76 (actuellement en bêta) prévue pour le 30 juillet, le comportement de l'API FileSystem sera modifié pour remédier à cette méthode de détection du mode incognito.
Selon les explications fournies par Google dans son billet avant Chrome 74, un grand nombre de sites Web utilisaient un bogue pour détecter si un utilisateur visitait le site Web en mode navigation privée. Les sites Web devaient simplement essayer d'utiliser l’API FileSystem qui sert à stocker des fichiers temporaires ou permanents. Cette API était désactivée dans le mode incognito, mais était présente dans le mode non incognito. Cela créait donc une différence d’état qui est exploitée pour détecter si un utilisateur naviguait sur un site Web utilisant le mode incognito et les empêcher de visualiser le contenu du site.
Google a déjà essayé de résoudre le problème dans Chrome 74 en vain
Selon Vikas Mishra, doctorant travaillant sur la sécurité Web et la confidentialité, Google a essayé de résoudre le problème, mais a échoué. D’après ses explications, Google a tenté une approche pour essayer de supprimer la vulnérabilité. L’entreprise a lancé une nouvelle option (accessible par le tag : #enable-filesystem-in-incognito) dans Chrome 74 qui bloque cette détection. Leur solution consiste à créer un système de fichiers virtuel en utilisant la RAM en mode de navigation privée. La protection fonctionne bien contre la première méthode de détection utilisée par les fournisseurs de contenu. Elle a donc été intégrée à Chrome 74. Mais très vite, les sites Web ont su trouver une autre alternative pour détecter la navigation en mode incognito. La protection introduite par Google n'a pas été suffisante et donc il est toujours possible de détecter le mode incognito, rendant ainsi la protection actuelle inefficace.
Selon Vikas Mishra, à partir de Chrome 74, les sites Web ont commencé à utiliser une vulnérabilité de l’API Quota Management. Vikas Mishra dit avoir découvert un effet secondaire qui permettait de détecter le mode incognito même avec cette protection activée. Cette API gère le quota attribué TEMPORARY et PERSISTENT, les ressources de stockage disponibles pour les applications et les sites Web du navigateur. Il existe deux types de stockage disponibles pour les sites et les applications Web : TEMPORARY et PERSISTENT. Le stockage TEMPORARY, comme son nom l'indique, est temporaire et il peut être utilisé sans demander de quota et est partagé par tous les sites Web exécutés sur le navigateur.
Il a remarqué que les principales différences dans les quotas de stockage TEMPORARY entre le mode incognito et le mode non-incognito sont les suivantes : dans le cas du mode incognito, il existe une limite stricte de 120MB, ce qui n'est pas le cas pour la fenêtre non incognito. Et il est clair, dit-il, que pour que le quota de stockage temporaire soit inférieur à 120 Mo en cas de mode non incognito, le stockage de l'appareil doit être inférieur à 2,4 Go. Cependant, pour des raisons pratiques, il est prudent de supposer que la majorité des périphériques actuellement utilisés disposent de plus de 2,4 Go de stockage. En utilisant ces informations, il devient facile de savoir si oui ou non l’utilisateur est en mode incognito.
Google apporte une solution plus complète à partir de Chrome 76
Suivant le raisonnement de Vikas Mishra, cela signifie que si le quota de stockage temporaire est inférieur ou égal à 120 Mo, on peut être sûr de dire que c'est une fenêtre de navigation privée. Google a donc annoncé que cela ne sera plus d’actualité après la sortie de Chrome 76. Cela dit, Google a prévenu que ceci affectera les paywalls des éditeurs. L’entreprise a expliqué que la modification affectera les sites qui utilisent l’API FileSystem pour intercepter les sessions en mode incognito et demandent aux utilisateurs de se connecter ou de passer en mode de navigation normal, en supposant que ces personnes tentent de contourner les paywalls mesurés.
« Avec la sortie de Chrome 76 prévue pour le 30 juillet prochain, le comportement de l'API FileSystem sera modifié pour remédier à cette méthode de détection du mode incognito. De même, Chrome travaillera pour remédier à tout autre moyen actuel ou futur de détection du mode incognito », a annoncé Google. Contrairement aux murs de paiement ou aux murs d’enregistrement, qui obligent les utilisateurs à se connecter pour visualiser tout contenu, les compteurs offrent un certain nombre d’articles gratuits avant de se connecter. Ce modèle est intrinsèquement poreux, car il repose sur la capacité du site à suivre le nombre d’articles consultés par une personne, généralement à l'aide de cookies.
Les sites d'actualités ne pourront plus détecter le mode Incognito à partir de Chrome 76
Les modes de navigation privée sont l'une des nombreuses tactiques utilisées par les utilisateurs pour gérer leurs cookies et ainsi réinitialiser le nombre de compteurs. Google a indiqué que les sites d'actualité comme The New York Times par exemple qui souhaitent empêcher le contournement des compteurs peuvent réduire le nombre d'articles gratuits qu'une personne peut consulter avant de se connecter, mais ne pourront plus se baser sur le mode Incognito. Google leur propose aussi des options comme l’obligation d'une inscription gratuite pour afficher tout contenu ou le renforcement de leur système de paiement. L'entreprise a dit être d’accord avec l'objectif de réduire le contournement des compteurs, mais conseille aux éditeurs de ne pas nuire aux principes de la navigation privée.
« Nous conseillons aux éditeurs de surveiller les effets de la modification de l'API FileSystem avant de prendre des mesures réactives, car tout impact sur le comportement des utilisateurs peut être différent de celui attendu et tout changement de stratégie de compteur affectera tous les utilisateurs, et pas uniquement ceux utilisant le mode incognito », a expliqué Google dans son billet.
Sources : Google, Vikas Mishra
Et vous ?
Qu'en pensez-vous ?
Voir aussi
Chrome, Safari et d'autres navigateurs ne vont plus permettre de désactiver l'audit de lien qui permet de suivre les clics sur les liens de sites
Le bloqueur de publicité par défaut de Google Chrome va être déployé partout dans le monde, à partir du 9 juillet
Chrome 73 débarque avec la prise en charge des touches multimédias de votre clavier et le support des PWA pour macOS
Le navigateur Google Chrome va bientôt intégrer le mode sombre sous Windows 10 à la demande des utilisateurs
Chrome 76 : Google va empêcher les sites Web d'actualité de détecter le mode incognito
Pour protéger la navigation privée dans son navigateur
Chrome 76 : Google va empêcher les sites Web d'actualité de détecter le mode incognito
Pour protéger la navigation privée dans son navigateur
Le , par Bill Fassinou
Une erreur dans cette actualité ? Signalez-nous-la !