Le mode de navigation privé de Google Chrome n'est pas aussi discret qu'il n'y parait.

Certes, il sait cacher l'historique de navigation, refuse l'inscription et la lecture de cookies, ou encore ne délivre pas le contenu des saisies. Mais une vulnérabilité permet aux développeurs de savoir lorsqu'un visiteur utilise ce mode lorsqu'il est connecté à un site.

Toute la procédure est expliquée sur le forum dédié aux développeurs Stack Overflow.

Concrètement, pour savoir si le navigateur est réglé en mode privé, il suffit d'interroger l'API FileSystem qui est prévue pour stocker les données temporaires. Si la réponse est que l'API est désactivée, il est clair que le mode privé est exploité.

Un système de fichiers virtuels

L'équipe de développement de Chrome a commencé à modifier le code source du navigateur.

Le site 9to5Google est parvenu à relever les corrections apportées par les développeurs. Ceux-ci ont rusé en laissant activée l'API en mode privé, tout en créant un système de fichiers temporaire totalement virtuel qui se déporte dans la mémoire vive.

C'est sur celui-ci que les sites web vont tomber. Ces fichiers sont évidemment détruits dès que l'on quitte le mode privé. Toujours selon 9to5Google, cette nouveauté devrait débarquer sous forme d'option avec Chrome 74 et réglée par défaut avec Chrome 76.