En mettant à jour son navigateur Web Chrome vers la version 76, Google espérait mettre un terme à la détection de la navigation privée. Certains sites Web ont utilisé cette pratique douteuse pour empêcher leurs visiteurs d'accéder à leur contenu de manière illimitée.
Navigation privée pour contourner certains paywall
Conçu pour offrir une navigation sans trace, la navigation privée permet de surfer sur le Web sans qu'aucun historique de navigation ne soit conservé, mais surtout sans qu'aucun cookie ne soit enregistré sur votre machine.
Seul problème, sans l'enregistrement de ces fameux cookies sur votre machine, les éditeurs de contenu ne peuvent pas compter votre nombre de visites. Vous avez probablement déjà déjà eu affaire à un site limitant la lecture gratuite de son contenu à cinq articles par mois, avec l’obligation de payer un péage numérique pour aller au-delà.
Pour empêcher l'utilisation de la navigation privée, certains sites Web tels que le New York Times où le Financial Times, ont incorporé un script pour détecter l’utilisation de Chrome Incognito par leurs visiteurs afin de les empêcher d’accéder à leur contenu gratuit de manière illimitée.
Pour fonctionner, ce script s'assurait simplement de la présence ou non d'une certaine API, activée dans la navigation classique, mais absente du mode incognito. Ainsi, lorsque le site consulté n'a pas détecté la présence de cette API, il a su que l'utilisateur utilisait une navigation privée. Pour empêcher cette détection, Google a choisi d'implémenter cette API à la fois pour la navigation classique et la navigation privée.
Pour terminer sa correction, il a également été décidé que l'API FileSystem n'utilisait plus de stockage sur disque libre pour stocker des fichiers temporaires en mode de navigation privée, mais reposait uniquement sur la mémoire RAM afin qu'elle soit nettoyée automatiquement en même temps. fin de chaque session.
Patch insuffisant qui ouvre la voie à deux nouvelles méthodes de détection
Malheureusement, le répit aura été de courte durée puisque deux nouvelles méthodes de détection de la navigation privée ont été dévoilées.
Le premier, découvert par Vikas Mishra, chercheur en sécurité, repose directement sur le choix d'utiliser la RAM plutôt que le support de stockage traditionnel pour stocker des fichiers temporaires. Comment? Simplement basé sur la quantité de mémoire disponible allouée au navigateur. Le chercheur en sécurité explique en effet que, dans la navigation privée, Chrome alloue un quota maximal de 120 Mo.
Sur la base de ces données, il a pu générer un script qui, une fois en place sur un site Web, peut demander au navigateur du visiteur la quantité de mémoire allouée aux fichiers système. Si la réponse renvoyée est proche de 120 Mo ou moins, Google Chrome est en navigation privée.
Mesurer la vitesse de la mémoire
La deuxième méthode, dévoilée par Jesse Li, un autre chercheur en sécurité, repose sur la rapidité d'accès au support de stockage sur lequel les fichiers temporaires sont stockés.
Étant donné que la RAM est par nature toujours plus rapide qu'un disque conventionnel, il suffit de mesurer la vitesse d'écriture des fichiers temporaires pour savoir si le visiteur utilise la navigation privée de Chrome. Par exemple, un site qui souhaite détecter l'utilisation de la navigation privée peut simplement exécuter un script qui démarre une mesure de vitesse de lecture / écriture.
Deux méthodes de détection déjà exploitées
BleepingComputer révèle également que les sites utilisant la détection de navigation privée ont déjà mis à jour leurs méthodes de détection depuis la mise à jour de Google Chrome en version 76.
Eric Lawrence, développeur Microsoft Edge (dont la prochaine version est basée directement sur Chromium, la version open source de Google Chrome), a récemment publié un tweet indiquant que le New York Times utilisait déjà la méthode de détection en fonction de la quantité de mémoire allouée. fichiers temporaires découverts par Vikas Mishra, preuve à l'appui.
Interrogé par BleepingComputer sur ces deux nouvelles méthodes de détection de la navigation privée, Google a déclaré continuer à lutter contre les méthodes actuelles et futures de détection du mode de navigation privée dans Google Chrome.
sources: BleepingComputer, Vikas Mishra, Jesse Li