Microsoft enquête actuellement sur un rapport montrant que le mode In-Private de son navigateur Edge, censé prodiguer une navigation privée, ne remplit pas complètement sa mission. Pour autant, la firme vient tout juste de réagir, alors que le rapport date d’octobre.
Internet Explorer propose depuis des années un mode de navigation privée. Baptisé In-Private, il a été logiquement repris dans Edge pour fournir aux utilisateurs des sessions de navigation ne laissant pas de traces locales. Ce type de fonctionnalité existe depuis longtemps également dans Firefox, Chrome, Opera et les autres. Lorsqu’il est actif, une fenêtre spéciale apparait, dans laquelle les traces de l’utilisateur sont effacées lorsqu'il ferme la fenêtre, qu’il s’agisse des sites visités, des téléchargements effectués, des cookies ou encore des logins utilisés.
La navigation privée laisse des traces
In-Private fonctionne normalement de la même manière. Mais dans un rapport publié en octobre dernier, le chercheur Ashish Singh indiquait que la fonction ne remplissait pas complètement son travail. Il y expliquait que la liste des sites visités pouvait aisément se retrouver dans le fichier WebCache. On y trouve ainsi la table « Container_n », contenant l’historique des onglets, exactement comme pour une session classique de navigation.
Conséquence, il suffit de récupérer le fichier pour reconstruire intégralement l’historique de navigation d’un utilisateur qui se serait servi du mode In-Private, ce qui n’est clairement pas en phase avec l’objectif même de la fonction, comme le note le chercheur : « La fonctionnalité de navigation pas-si-privée contenue dans Edge fait que sa raison d’être échoue ». Les données sont d’autant plus faciles à récupérer qu’elles sont stockées dans une base de données ESE (Extensible Storage Engine) et qu’il existe de nombreux outils pour y chercher les informations.
Un historique synchronisé entre les machines
Ashish Singh note par ailleurs un point troublant. Le compte Microsoft, utilisé sur la plupart des machines sous Windows 10, synchronise par défaut l’historique web. Si vous utilisez votre compte sur une autre machine, vous retrouvez donc le fameux fichier et l’intégralité de ses entrées. Le chercheur précise qu’au travers des informations dont on peut disposer, il n’est même plus possible de savoir sur quelle machine initialement la navigation a été faite. Dans le cadre d’une enquête, un tel mécanisme pourrait donc poser problème.
Quoi qu’il en soit, nos confrères de The Verge ont pu récupérer le fichier et l'examiner : « Nous n’avons pas été en mesure de trouver la table Container_n ou de retrouver un historique web complet de la session In-Private, mais un professionnel entrainé aurait probablement eu plus de succès ». Ils indiquent cependant avoir retrouvé la trace d'au moins un site visité en session privée.
Microsoft promet de résoudre le problème rapidement
Contacté par The Verge, Microsoft a indiqué qu’une enquête était en cours : « Nous avons récemment été mis au courant d’un rapport indiquant que les onglets In-Private ne fonctionnaient pas comme ils le devraient, et nous nous engageons à résoudre [ce problème] aussi rapidement que possible ».
Notez que le mode de navigation privée d’Edge n’est pas le premier à être touché par ce type de problème. En 2010, des chercheurs de l’université de Stanford ont ainsi montré que tous les navigateurs, d’une manière ou d’une autre, laissaient des traces. Évidemment, la situation s’est très probablement améliorée depuis, mais un cas concret s’était présenté en 2013 avec la version iOS de Chrome, qui laissait visibles l’historique et les recherches.
Commentaires (53)
Si “elle” est la NSA, qu’on se rassure, elle n’a pas besoin de ce genre de failles pour faire son travail…
hahaha je pense plutôt que c’était “ta femme saura que tu regard du pr0n”
Disons que je n’ai pas envie qu’elle voit sur quels sites je vais pour son cadeau d’anniversaire.
" /> (quoi c’est dans 10 mois ? Je suis, euh, prévoyant 
" />)
Franchement, qui a pu croire un seul instant que le mode privé d’un navigateur de Microsoft puisse proposer une quelconque sécurité ? Sincèrement ? C’est au même niveau que le mode soit-disant privé de Safari sur iOs…
On ne peut avoir aucune confiance dans ces navigateurs.
Microsoft aurait baclé son dev pour sortir W10 et Edge au plus vite ?
Pas possible !!!
Un patch est déjà disponible ici.
" />
On peut critiquer Microsoft, mais Firefox a également une faille dans son mode privé -> si le navigateur plante en mode privé, au redémarrage il propose quand même de restaurer avec toutes les sessions non closes…
" />
Tu as beaucoup de chance, tu es passé à la version 64 bits ?
" />
Cette version plantait beaucoup, maintenant c’est plus stable mais parfois j’ai des freezes (je dois kill “l’explorer” et le relancer)
ça ne serait pas dû a une plugin ou une extension tierce ?
Je n’ai que Flash et silverlight en plug-in
" />
Après en add-ons, je n’ai que le stricte nécessaire à savoir
-µblock (nextinpact en liste blanche :))
-Autopager
-ghosterry
-searchprevieuw
-noscript
-quickdrag
-tabscope
J’ai bien dis QUE le nécessaire, même l’add-ons kasperky je ne l’ai pas installé (incompatible sur le x64 de firefox) et par moment j’ai des freezes et crash. Le soucis ne vient pas de l’O.S
si tu as une piste je suis preneur…
Edit : et bien sûr je fais bien mes updates (sauf certains de windows que je ne veux pas)
Plus je lis ce genre de news et plus Microsoft me gave avec son cloud qu’il impose de force un peu partout.
Ça peut paraître anodin mais rien que supprimer une imprimante peut être un enfer sous W8.1, car il l’a dans le cloud donc il la réinstalle tout seul sans rien te demander.
Vivement que cette mode ridicule passe et qu’on en revienne a des choses plus simples comme on faisait sous Windows 7.
Je comprends pas trop, j’ai jamais eu le cloud depuis W8.1
" />
Sous W10 pareil, donc pour l’imprimante tout ça pas de soucis…
Ou tu parles en pro ?
Le chercheur indique justement qu’à la base l’historique en privé était stocké pour pouvoir restaurer en cas de crash du navigateur. Mais Microsoft n’as pas pensé à la syncro apparemment ><
Utilise plutôt “disconnect” au lieu de ghostery !
Ghostery est de mèche avec un paquet de monde est laisse passer pleins de truc.
http://david.mercereau.info/ghostery-si-cest-gratuit-cest-vous-le-produit/ ; )
Ils revendent tes données a on ne sait qui.
Je ne comprends pas l’intérêt de synchroniser son historique web. Si on veut se rappeler d’un site, il y a les favoris, plein d’extensions pratique, Wallabag, un bloc-note,…
Aucun problème avec la version 64b. Mais faut dire que j’ai peu d’addons et pas de java and co. Ca aide …
Vire Ghostery et Noscript car ils font doublon avec un µBlock Origin bien paramétré. Les autres, je ne les connais pas.
Un add ons peut être utile, mal écrit et donc foiré le tout nous sommes d’accord mais la plupart que j’ai cité (et donc que j’utilise) ont quand même plusieurs années, il ne sont pas nouveaux et au fil des années les corectif (et amélioration donc beug potentiel) sont apprus
Est-il possible que l’architecture 64 bits a une influence sur la consommation/ gestion /utilisation des add ons ?
si oui, cela expliquerait les freezes.
No script ?!
" /> 
" />
c’est une merveille, tu surfs sans désagrément (quand tu visites des sites d’informations de base comme clu
, propriété de m6, sa te bloque pas mal de bandeau et de redirection)
Pour le reste je suis comme toi JAMAIS java and co (flash et silverlight seulement).
J’ai une copine qui a eu un problème avec un site, elle utilise Edge, donc elle me montre, tape son identifiant sur le site, click dans le champ mot de passe et là, paf tout ses mots de passes associés à l’identifiant apparaissent en clair en suggestion
" />
C’est Edge qui fait ça ou bien ? Ptetre que le formulaire est mal foutu mais j’ai pas eu le temps de regarder.
Oui généralement on n’écrit pas sur un bloc-notes avec le doigt
" />
Seules les pages non privées sont restaurées. Les privées sont perdues.
Le meilleur pour moi reste quand même chomium avec la possibilité d’ajouter des extensions : auto update, flash (malheuresement encore indispensable)…
" />
Avec Edge c’était sympa quand je l’ai essayé au début mais maintenant j’ai :
-des fermetures d’onglet/navigateur aléatoires.
-des latences par moment.
-actuellement je ne peux même pas ouvrir un nouvel onglet.
Tu n’as que flash et silverlight ?
" />
Tu as 2 plugins binaires, qui font ce qu’ils veulent sous le capot. Heureusement ils sont isolés.
‘ce qu’ils veulent sous le capot.’
Oui en attendant l’utilisation de ces plugins ne sont pas quotidiens donc s’ils ne sont pas “sollicités”, il ne sont pas censés tourner.
Sauf erreur de ma part…
Tu affiches de la publicité chaque jour, dont une bonne part en flash. C’est suffisant.
Firefox ne demande pas par défaut d’activer manuellement le plugin flash sur les pages qui en ont besoin ?
Je ne me rappel plus si c’est par défaut ou si c’est moi qui est coché ça dans les paramètres…
Flash est toujours activé par défaut sur les nouveaux profils. (firefox x64 / nightly x86)
Il faut activer le mode “sur demande” manuellement.
Ben, µBlock Origin avec ce qu’il faut, je ne vois aucune pub hein, mais alors aucune de chez aucune et tous les traceurs sont aussi bloqués. Je n’ai plus que ce module la et mon navigateur me remercie.
j’ai ublock origin, mais je crois que j’ai trop de trucs bloqués, par exemple je peux plus lire les videos ou les gif sur twitter
Tu peux poster le truc sur le forum ? Je pourrais y jeter un oeil voir ce qui cloche. Perso, j’ai été bien bourrin, mais les images et GIF de Twitter sont parfaitement visibles chez moi.