Google prépare une amélioration pour le mode de navigation privée de son navigateur Chrome. Cette fonctionnalité vise à renforcer la confidentialité des utilisateurs en modifiant la manière dont les scripts tiers exploitent les données pour le suivi.
- Google teste « Script Blocking in Incognito » sur Windows 11 pour bloquer les scripts tiers qui dressent des empreintes via canvas, WebGL, audio, polices.
- Le blocage cible seulement les domaines marqués dans une liste MDL et n’interrompt que les scripts tiers identifiés comme problématiques.
- Fonctionnalité limitée à Incognito (désactivable) et pas généralisée à tous les navigateurs Chromium
Malgré les promesses du mode Incognito, la navigation privée sur Chrome reste aujourd'hui imparfaite. Bien que ce dernier permette de surfer sans laisser de traces locales, les sites visités peuvent en réalité toujours identifier votre navigateur et collecter des informations sur votre appareil. Le géant de Mountain View travaille désormais sur une amélioration concrète de cette fonctionnalité avec le développement d'un système de blocage des scripts malveillants.
Chrome passe (enfin) à l'offensive contre les scripts de suivi tiers
Jusqu’à présent, ouvrir une fenêtre de navigation privée dans Chrome n’empêchait pas les sites de collecter certaines données via le navigateur. Un avertissement dans l’interface le rappelle d'ailleurs explicitement : les sites web peuvent toujours voir votre activité. Pour tenter de réduire cette exposition, Google expérimente une fonctionnalité baptisée « Script Blocking in Incognito », déployée pour l’instant uniquement sur Windows 11.
Cette nouvelle protection s’attaque aux scripts tiers qui utilisent des API web standards tels que canvas, WebGL, les polices ou l’audio, pour générer une empreinte unique de l’utilisateur. Google explique que ces scripts sont souvent détournés pour créer un identifiant persistant, sans recourir aux cookies. Concrètement, un site de restaurants pourrait alors utiliser un script tiers générant un identifiant unique via ces techniques, permettant ensuite à d'autres sites utilisant le même script de vous cibler publicitairement.
Une protection réservée au mode Incognito de Chrome
Le fonctionnement repose sur une liste restreinte appelée Marked Domain List (MDL). Un domaine n’est concerné que s’il agit comme script tiers et tente d’extraire des informations de l’utilisateur. Chrome ne bloque donc pas tous les scripts par défaut, mais uniquement ceux identifiés comme problématiques selon cette liste. L’entreprise a également soumis une modification mineure du standard Fetch, afin de permettre aux navigateurs de bloquer ou d'intercepter certaines requêtes après les vérifications classiques comme le CSP ou les contenus mixtes.
Ce mécanisme de blocage reste toutefois réservé au mode Incognito de Chrome, contrairement à Safari et Firefox qui bloquent directement les scripts de tracking en navigation normale. Google précise que cette fonctionnalité ne sera pas généralisée à tous les navigateurs basés sur Chromium. De plus, les utilisateurs pourront désactiver cette protection via un paramètre dans les réglages du navigateur. Notez enfin qu'une icône en forme d’œil s’affichera dans la barre d’adresse si un script est bloqué et qu'il sera possible de lever la restriction pour un site en particulier.
Source : Windows Latest
