Google Chrome : en fait, la navigation en mode Incognito n’est pas vraiment privée

Publié le 12 août 2019 par _nicolas @BranchezVous

Avec la nouvelle version de Google Chrome, nommée Chrome 76, Google a annoncé à qui voulait l'entendre que cette fois-ci, promis, juré, la navigation en mode Incognito était vraiment privée.

Oui mais... quelques jours après la mise en circulation de Chrome 76, des développeurs ont trouvé un moyen de détourner la mode Incognito.

Un mode Incognito pas si incognito sur Chrome 76

Le nouveau mode Incognito, à quoi ça sert? Avant sa sortie, c'est-à-dire même sous la précédente version du mode Incognito, les sites web pouvaient savoir si vous visitiez leurs pages en navigation privée, et ce grâce à une API officielle de Chrome. Cela servait par exemple aux sites de certains médias de savoir si vous essayez de contourner leurs paywalls et vous forcer à utiliser une navigation non protégée.

Une possibilité retirée avec le nouveau Chrome 74, puis perfectionnée avec la version 76, puisque l'API utilisée pour détecter le mode privé a été supprimée par Google.

Oui mais, comme le fait remarquer le site Bleeping Computer, il est toujours possible de savoir si vous êtes en navigation privée. Il existe même deux méthodes pour y parvenir. La première touche à l'espace alloué au système de fichiers : en mode Incognito, il est de 120 MB; en mode normal, il peut atteindre 2.4 GB.

Deux méthodes de reconnaissance

Le chercheur en sécurité Vikas Mishra a même développé un script permettant de distinguer les deux modes. Le site du New York Times a déjà implémenté le Proof of Concept (PoC) de Vikas Mishra.

Un autre chercheur, Jesse Li, a lui démontré que la vitesse d'écriture du système de fichiers était plus rapide sur la RAM (mode Incognito) que sur le disque local (mode normal). En conséquence, il est possible pour un site de mesurer les temps d'accès au disque afin de déterminer le mode utilisé par l'internaute.

Encore raté, Google.