Google veut empêcher des sites web de bloquer le mode Incognito

Protection de la vie privée

Le mode Incognito de Google Chrome ne se révèle pas être un bouclier de protection de la vie privée impénétrable. En effet, une faille permet aux sites web de détecter le mode Incognito en essayant d’utiliser une API que le mode désactive.

mode incognito

Le mode Incognito de Google Chrome ne se révèle pas être un bouclier de protection de la vie privée impénétrable : pendant des années, les développeurs web n’ont eu de cesse de détecter lorsque les utilisateurs de Chrome naviguaient en mode privé et de bloquer les visiteurs qui l’utilisait.

Google le sait parfaitement. C’est pourquoi, selon 9to5Google, il semble que l’entreprise envisage de supprimer la faille permettant aux sites de détecter les utilisations du mode Incognito.

Cette faille : les sites web ont détecté le mode Incognito en essayant d’utiliser une API que le mode désactive.

Il existe de nombreuses manières de détecter le mode Incognito : comme le suggère 9to5Google, si vous recherchez “Comment détecter le mode Incognito“, vous constaterez que les développeurs ont mis au point différentes méthodes pour le faire dans Stack Overflow.

Un moyen simple a été de détecter cette API : un développeur peut simplement essayer d’utiliser l’API FileSystem de Chrome, qui est désactivée en mode navigation privée. Cette API est utilisée par les applications pour stocker des fichiers, que ce soit temporairement ou de manière plus permanente. Le mode Incognito la ferme complètement afin que l’API ne crée pas de fichiers permanents qui pourraient mettre en péril la vie privée d’un internaute.

C’est ce que font certains sites web, en particulier s’ils ont du contenu derrière un paywall, comme le Boston Globe : ils détectent et bloquent les utilisateurs en mode Incognito, car ils ne peuvent pas être suivis et ont utilisé ce mode justement pour contourner les exigences en matière d’abonnement payant.

Un commentateur sur Stack Overflow a déclaré :

[Le] site peut minimiser la valeur apportée au visiteur en détectant le mode incognito. Le site du Boston Globe n’affiche pas ses articles en mode incognito, empêchant ainsi l’utilisateur de contourner son quota d’articles gratuits.

“C’est génial!” a déclaré un développeur après la publication de la méthode en janvier 2015. “Propre et élégant”, a déclaré un autre en octobre de cette année.

Préparez-vous à lui adieu, a déclaré samedi un autre développeur, évoquant une série d’engagements récents concernant la gestion du code source Gerrit de Chromium.

Ces engagements montrent que Google s’emploie à mettre en place un système de fichiers virtuel pour que Chrome puisse être présenté quand il est en mode de navigation privée et qu’un site le demande. Le système de fichiers virtuel sera créé dans la RAM afin de garantir sa suppression une fois que l’utilisateur aura quitté le mode Incognito. Kyle Bradshaw de 9to5Google a déclaré :

Ce système devrait facilement stopper toutes les méthodes actuelles pour détecter si Chrome est en mode Incognito.  

Le développeur qui gère la fonctionnalité de prévention de la détection a déclaré qu’il espérait que cette fonctionnalité soit lancée sous Chrome 74, avec l’utilisation d’un indicateur. Elle devrait être activée par défaut dans Chrome 76.

Selon Chromium Dash, la version stable de Chrome 74 est prévue pour le 23 avril. La version stable pour Chrome 76 est prévue pour le 30 juillet.

Toutefois, tout cela pourrait n’être qu’une solution court-terme, étant donné que Google voudrait éventuellement abandonner complètement l’API FileSystem. Selon un document de conception interne obtenu par 9to5Google, une fois le système de fichiers virtuel mis en place, Google déterminera le nombre d’utilisations légitimes de cette dernière une fois que ceux abusant de la détection du mode Incognito auront disparu.

Bradshaw a cité le document interne :

Étant donné que l’API FileSystem n’a pas été adoptée par les autres éditeurs de navigateur, il semble que les sites ne l’utilisent que pour détecter le mode incognito. En rendant cela plus difficile, nous espérons que l’utilisation globale de l’API se réduira à un point tel que nous pourrons la rendre obsolète et la supprimer.


Billet inspiré de Google’s working on stopping sites from blocking Incognito mode, sur Sophos nakedsecurity.

Leave a Reply

Fill in your details below or click an icon to log in:

WordPress.com Logo

You are commenting using your WordPress.com account. Log Out /  Change )

Google photo

You are commenting using your Google account. Log Out /  Change )

Twitter picture

You are commenting using your Twitter account. Log Out /  Change )

Facebook photo

You are commenting using your Facebook account. Log Out /  Change )

Connecting to %s

This site uses Akismet to reduce spam. Learn how your comment data is processed.