Google veut interdire aux sites de savoir si les utilisateurs sont ou non en mode anonyme et, en y réfléchissant, a corrigé dans Chrome 76 la faille qui leur permettait de le faire. Ce à quoi l’entreprise ne doit pas s’attendre, c’est que deux autres méthodes soient rapidement développées.
Les solutions qui indiquent si une personne est en mode anonyme sont utilisées, par exemple, par les sites d’information qui doivent empêcher quelqu’un de contourner leur paywall. Même Chrome 76, les pages pouvaient détecter le mode anonyme en vérifiant si l’API du système de fichiers était disponible.
Il est utilisé pour enregistrer, modifier et supprimer des fichiers, mais n’était proposé qu’en mode standard. S’il était désactivé, il était possible d’indiquer que le navigateur voulait éviter l’enregistrement des données et donc que le mode anonyme était utilisé.
Ainsi, les sites ont demandé l’API et, à la réception de l’erreur, ont pu déterminer que l’utilisateur essayait de violer leur blocage. Pour mettre fin à cette pratique, Google propose désormais l’API en mode standard et anonyme.
L’identification, cependant, n’est pas terminée. C’est parce que les sites utilisent déjà d’autres moyens pour indiquer quel mode est utilisé. La méthode du chercheur en sécurité, Vikas Mishra, par exemple, a été adoptée par le New York Times et tire parti du système de fichiers à mémoire transitoire que Chrome utilise en mode anonyme.
Le système efface les journaux lorsque la session anonyme est terminée et a une limite de 120 Mo fixée par Google. Lors de tests, Mishra a conclu que pour que la mémoire atteigne 120 Mo en mode standard, l’appareil aurait besoin de moins de 2,4 Go de stockage.
En raison des modèles actuels, qui dépassent facilement cette capacité, il a cru comprendre qu’on peut dire sans risque que si la limite de mémoire est inférieure à 120 Mo, le navigateur est en mode anonyme.
Une autre méthode, créée par Jesse Li, également chercheur en sécurité, compare le temps d’enregistrement des fichiers. Les systèmes de fichiers en RAM, utilisés par le mode anonyme, sont plus rapides que les systèmes de fichiers sur disque, utilisés par le mode standard.
En analysant le temps d’enregistrement, vous pouvez identifier quel mode est utilisé. La méthode est également précise, mais comme elle nécessite plusieurs écritures pour déterminer la vitesse, il faut plus de temps pour détecter si l’utilisateur est réellement en mode anonyme.
Google est déjà au courant des nouvelles méthodes et devrait chercher d’autres moyens d’empêcher la détection du mode anonyme dans les futures mises à jour. Dans une note, la société a déclaré qu’elle “s’efforcera de remédier à tout moyen actuel ou futur de détection en mode anonyme.