Navigation privée

Navigation privée sur le navigateur Firefox

La navigation privée est une fonction de la plupart des navigateurs Web permettant de naviguer sur le Web sans que les données de navigation comme l'historique ou les cookies soient conservées sur le poste client à la fin de la session.

Lorsqu'il fonctionne dans un tel mode, le navigateur crée une session temporaire distincte, isolée de la session principale du navigateur et des données de l'utilisateur. L'historique de la navigation n'est pas enregistré sur le poste client et les données locales associées à la session, telles que les cookies et les fichiers Internet temporaires sont effacées du poste de consultation à la fermeture de la session. Ce mode de navigation est principalement conçu pour empêcher les données et l'historique associés à une session de navigation particulière de persister sur l'appareil ou d'être découverts par un autre utilisateur du même appareil.

La navigation privée ne protège pas l' utilisateur contre le suivi par les sites Web qu'il visite[1], par leur fournisseur d'accès à Internet (FAI) ou par les administrateurs de réseau informatique d'entreprise, pour les personnes qui utilisent la navigation privée sur un ordinateur d'entreprise. En plus, il est possible que des traces d'activité identifiables soient divulguées lors de sessions de navigation privée par le biais du système d'exploitation, de failles de sécurité dans le navigateur, de modules d'extension malveillants ou d'enregistreurs de frappe.

Certaines API HTML5 peuvent être utilisées pour détecter l'utilisation de la navigation privée en raison de différences de comportement.

Histoire

Le navigateur Safari d'Apple a été l'un des premiers grands navigateurs Web à offrir la navigation privée[2]. La fonction a depuis été adoptée dans d'autres navigateurs, et a conduit à la popularisation du terme navigation privée en 2008 par les grands organes de presse et les sites Web informatiques lors de la discussion sur les versions bêta d'Internet Explorer 8[3],[4],[5].

Adobe Flash Player a été lent à respecter les désirs de navigation privée des internautes. Ce n'est qu'avec la version 10.1, en 2014, que le logiciel a commencé à respecter les paramètres de navigation privée en ce qui concerne le stockage des objets locaux partagés (qui sont semblables à des cookies)[6],[7].

Utilisation

Parmi les utilisations de la navigation privée, on peut citer

  • la dissimulation de contenus indésirables dans l'historique de navigation (comme les visites de sites destinés aux adultes)[8] ;
  • l'exécution de recherches sur le Web qui ne sont pas influencées de manière algorithmique par les habitudes de navigation antérieures ou les intérêts enregistrés de l'utilisateur[8] ;
  • la fourniture d'une session temporaire propre à un utilisateur invité (comme lors de l'utilisation d'un ordinateur public)[8] ;
  • l'accès simultané à un site au moyen de plusieurs comptes (par exemple, l'accès à un service de courrier électronique à partir de deux comptes différents sur le même ordinateur) ;
  • le contournement de péages de lecture numérique sur certains sites Web[9],[10].

Dans un sondage du moteur de recherche DuckDuckGo, 48 % des participants ont refusé de répondre (le chercheur Elie Bursztein (en) a noté que « les sondages ne sont clairement pas la meilleure approche pour comprendre pourquoi les gens utilisent le mode de navigation privée à cause du facteur d'embarras »). Selon les résultats de l’enquête, 18 % des répondants ont indiqué que le commerce électronique était leur principale utilisation des modes de navigation privés[11],[12],[13].

Une étude de la Fondation Mozilla a révélé que la plupart des sessions de navigation privée ne duraient qu'environ 10 minutes, et qu'il y avait des périodes où l'activité augmentait, généralement entre 11 h et 14 h, à 17 h, entre 21 h et 22 h, et un pic mineur environ une heure ou deux après minuit[14].

Présence au sein des navigateurs

Les navigateurs Web utilisent différents noms pour désigner la navigation privée :

Date Navigateur Synonyme
Safari 2.0 : Navigation privée (Private Browsing)
Google Chrome 1.0 Navigation privée (Incognito)[15]
Internet Explorer 8 Navigation InPrivate
Mozilla Firefox 3.5[16] Navigation privée
Opera 10.50[17] Onglets privés / Fenêtres privées[18]

Depuis la version 10.1[19], Flash prend en charge[20] ce mode pour Firefox, Google Chrome, Internet Explorer et Safari.

Android

Nom du navigateur Présence du mode navigation privée
Google Chrome  Oui, depuis Android 4.0[21]
Opera Mobile  Oui
Navigateur d'Android  Oui
Dolphin  Oui
Firefox Mobile  Oui, depuis la version 20[22]

iPhone

Nom du navigateur Présence du mode navigation privée
Safari  Oui
Opera Mobile  Oui
Google Chrome  Oui

Caractéristiques spécifiques

Les caractéristiques de la navigation privée varient peu selon les navigateurs.

À la fin d'une session de navigation privée, généralement, les navigateurs suppriment l'historique de navigation, l'historique des recherches, les informations entrées dans les formulaires, les cookies, les fichiers Internet temporaires, les adresses entrées dans la barre d'adresses, les mots de passe enregistrés et les saisies semi-automatiques. Ils conservent habituellement les fichiers téléchargés et les marque-pages ajoutés.

Sécurité

Certains pensent à tort que la navigation privée les protège contre les pirates informatiques qui sévissent sur Internet. Il n'en est rien, car la navigation privée protège uniquement contre le regard indiscret de personnes qui ont un accès physique à un ordinateur. De plus, cette protection n'est que partielle comme nous le verrons dans les paragraphes suivants.

De même, certains pensent à tort que la navigation privée protège les utilisateurs contre le suivi par d'autres sites Web ou par leur fournisseur d'accès Internet (FAI)[23]. Il n'en est rien : ces entités peuvent utiliser des informations telles que les adresses IP, les identifiants et les empreintes digitales de navigateur pour identifier les visiteurs de manière unique[23],[24]. Certains navigateurs ont partiellement comblé cette lacune en offrant des fonctions de confidentialité supplémentaires qui peuvent être automatiquement activées lors de l'utilisation de la navigation privée, comme la fonction Protection contre le tracking de Firefox pour contrôler l'utilisation des traqueurs Web (qui a depuis été intégrée dans une fonction plus large de blocage de contenu en dehors du mode de navigation privée), et Opera offrant un service interne VPN intégré dans le navigateur[25],[11].

En 2012, des chercheurs brésiliens ont publié les résultats d'un projet où ils ont appliqué des techniques d'investigation numérique (à savoir les outils Foremost et Strings) pour extraire des informations sur les activités de navigation des utilisateurs sur les navigateurs Internet Explorer et Firefox en mode privé. Ils ont pu recueillir suffisamment de données pour identifier les pages visitées et même les reconstituer partiellement[26]. Cette recherche a ensuite été étendue pour inclure les navigateurs Chrome et Safari. Les données recueillies ont prouvé que le mode privé n'est pas capable de cacher complètement les activités de navigation des utilisateurs et que les navigateurs en mode privé laissent des traces d'activités dans la mémoire cache et les fichiers liés à la pagination du système d'exploitation[27].

Une autre analyse de sécurité indépendante, réalisée par un groupe de chercheurs de l'université de Newcastle en 2014, a fait état d'une série de vulnérabilités de sécurité potentielles dans la mise en œuvre des modes privés sur Chrome, Firefox, Internet Explorer et Safari, notamment que[28] :

  • des modules d'extension de navigateurs pouvaient toujours enregistrer l'historique s'ils étaient actifs en mode privé ; bien que Chrome et Firefox aient depuis exigé que les extensions soient activées sur une base opt-in pour leurs modes de navigation privée[29], un module d'extension installé en mode normal pourrait connaître les activités de l'utilisateur en mode privé en mesurant l'utilisation des ressources informatiques partagées ;
  • l'effacement des données par le navigateur est jugé insuffisant ; par exemple, les enregistrements des sites Web visités pendant la session privée peuvent être conservés dans la mémoire de l'ordinateur pendant une longue période, même après la fermeture de la session privée ; par exemple, les enregistrements des sites Web visités sont généralement conservés par le système d'exploitation dans la mémoire cache locale DNS ; de plus, les horodatages modifiés de certains fichiers de profil enregistrés sur le disque peuvent révéler si le mode privé a été activé précédemment et quand il l'a été ;
  • des bogues logiciels présents dans certains navigateurs dégradent sérieusement la sécurité du mode privé ; par exemple, dans certaines versions antérieures de Safari, le navigateur conservait des enregistrements de l'historique de la navigation privée si le programme du navigateur n'était pas fermé normalement (par exemple, à la suite d'un plantage du programme), ou si l'utilisateur ajoutait un marque-page alors qu'il était en mode privé ;
  • Selon que la session est en mode privé ou normal, les navigateurs Web présentent généralement des interfaces utilisateur et des caractéristiques de trafic différentes. Cela permet à un site Web distant de savoir si l'utilisateur est actuellement en mode privé, par exemple en vérifiant la couleur des hyperliens ou en mesurant le temps d'écriture des cookies.

Des bogues et des vulnérabilités de sécurité des modules d'extension peuvent également révéler des données personnelles en mode privé[30].

Les implémentations de l'API FileSystem d'HTML5 peuvent être utilisées pour détecter les utilisateurs en mode privé. Dans Google Chrome, l'API FileSystem n'était pas disponible en mode de navigation privée avant la version 76. Afin d'éviter le contournement de leurs péages de lecture numérique, des publications telles que le New York Times ont utilisé ce comportement pour détecter et bloquer les utilisateurs de Chrome accédant à leurs sites en mode privé.

Chrome 76 permet d'utiliser l'API FileSystem en mode privé ; pour justifier ce changement, Google a fait valoir que la possibilité de détecter l'utilisation du mode privé porte atteinte à la vie privée des utilisateurs. Cependant, on a découvert par la suite que les quotas d'espace disque pour l'API différaient entre le mode normal et le mode privé, fournissant un autre moyen de détecter les utilisateurs en mode privé[31],[9],[10].

Notes et références

(en) Cet article est partiellement ou en totalité issu de l’article de Wikipédia en anglais intitulé « Private browsing » (voir la liste des auteurs).
  1. « Mohammed Merah n’a PAS été identifié grâce à une loi antiterroriste, mais grâce à un logiciel libre », sur BUG BROTHER, (consulté le ).
  2. Gina Trapani, « Safari's private (porn) browsing mode », Lifehacker, (consulté le )
  3. Mary Jo Foley, « Microsoft to roll out more granular 'porn mode' with IE 8 », ZDNet (consulté le )
  4. Lalee Sadighi, « Microsoft's Internet Explorer 8 Goes 'Porn Mode' » [archive du ], Red Herring (consulté le )
  5. Angus Kidman, « Microsoft releases IE8 beta 2: MS porn mode included », APC (consulté le )
  6. « Adobe Flash 10.1 supports "private browsing" », sur The H (consulté le )
  7. « Adobe Flash Player Private Browsing May Force Change in Fraud Fight », sur eWeek (consulté le )
  8. a b et c (en) Ian Paul, « Three practical reasons to use your browser's private mode », sur PCWorld, (consulté le )
  9. a et b (en) Chip Brownlee, « Google's Chrome Update Just Unlocked Lots of Newspapers' Metered Paywalls », sur Slate Magazine, (consulté le )
  10. a et b (en) Chris Duckett, « Google to clamp down on Incognito Mode detection », sur ZDNet (consulté le )
  11. a et b (en) Elie Bursztein, « Understanding how people use private browsing » (consulté le )
  12. (en) Tom Espiner, « Private browsing tools still leave data trail », sur ZDNet (consulté le )
  13. (en) « Private browsing: 16 good reasons to use incognito mode », sur ZDNet (consulté le )
  14. Hamilton Ulmer, « Understanding Private Browsing », sur Blog of Metrics, Mozilla Foundation, (consulté le )
  15. https://support.google.com/chrome/bin/answer.py?hl=en&answer=95464
  16. (en) « Mozilla Cross-Reference mozilla1.9.1 », Mozilla Foundation (consulté le )
  17. (en) Roberto Mateu, « Opera 10.5 pre-alpha for Labs », Opera Software (consulté le )
  18. Différents navigateurs
  19. (en) Jimson Xu et Tom Nguyen, « Private browsing in Flash Player 10.1 », Adobe Systems, (consulté le )
  20. « Navigation privée : Microsoft félicite Adobe pour Flash 10.1 », sur Génération-NT (consulté le ).
  21. « Android : Google Chrome disponible en bêta », sur tomsguide.fr via Wikiwix (consulté le ).
  22. (en)https://www.mozilla.org/en-US/mobile/20.0/releasenotes/
  23. a et b (en-US) Michael Grothaus, « Incognito mode won't keep your browsing private. Do this instead », sur Fast Company, (consulté le )
  24. « Incognito mode while browsing - Myths Busted », sur Privacyflake (consulté le ).
  25. (en) Catalin Cimpanu, « Firefox 63 released with 'always-on' tracking protection », sur ZDNet (consulté le )
  26. R. Ruiz, F. P. Amatte, K. J. B. Park, Tornando Pública a Navegação “In Private”. Proceedings of the Seventh International Conference on Forensic Computer Science – ICoFCS 2012, Available online Sep 2012.
  27. R. Ruiz, F. P. Amatte, K. J. B. Park, Opening the “Private Browsing” Data – Acquiring Evidence of Browsing Activities. Proceedings of the International Conference on Information Security and Cyber Forensics (InfoSec2014), Available online Oct 2014.
  28. Kiavash Satvat, Matthew Forshaw, Feng Hao et Ehsan Toreini, « On the privacy of private browsing – A forensic approach », Journal of Information Security and Applications, vol. 19,‎ , p. 88–100 (DOI 10.1016/j.jisa.2014.02.002, lire en ligne)
  29. (en) Gregg Keizer, « How to go incognito in Chrome, Firefox, Safari and Edge », sur Computerworld, (consulté le )
  30. B. Zhao, P. Liu, Private Browsing Mode Not Really That Private: Dealing with Privacy Breaches Caused by Browser Extensions. In Proceedings of the 45th Annual IEEE/IFIP International Conference on Dependable Systems and Networks (DSN 2015), Rio de Janeiro, Brazil, Available online June 2015.
  31. (en) Liam Tung, « Chrome's 'more private' Incognito mode: Websites can still detect you're using it », sur ZDNet (consulté le )

Voir aussi

Bibliographie