Voilà un bug qui fait désordre dans l’univers Apple. Une faille de sécurité dans son navigateur Safari v15 permet de faire ce que l’entreprise cherche à combattre : pister les internautes à travers leurs pérégrinations sur la Toile. Et c'est terriblement efficace. Les chercheurs en sécurité de FingerprintJS, qui ont détecté ce problème, ont mis en ligne une page web de démonstration (safarileaks.com). Après avoir visité quelques sites, l’outil a non seulement détecté certains sites sur lesquels je me suis rendu, mais aussi récupéré l’identifiant unique de mon compte Google. C’est idéal pour marquer quelqu’un à la culotte. Cette faille est exploitable sur macOS, iOS et iPadOS.


Comment est-ce possible ? Le mal se situe dans l’interface de programmation d’IndexedDB, une base de données que beaucoup de sites web utilisent pour stocker des données en local dans le navigateur. En théorie, la base de données créée par un domaine n’est pas accessible par un autre domaine, en accord avec le principe « Same-Origin Policy ». Malheureusement, quand Safari rencontre une telle base de données, il va créer des copies vides dans chaque onglet ouvert. Les sites web de ces onglets pourront donc lire le nom de cette base de données, ce qui est suffisant pour connaître le site web d’origine. Si l’internaute se connecte à un service Google, c’est encore pire, car les noms de leurs bases IndexedDB contiennent l’identifiant unique du compte. 

L’impact de cette faille n’est pas simple à évaluer. Sur les 1000 sites les plus visités de la Toile, 30 utilisent une base IndexedDB sur leur page d’accueil. « Nous pensons que ce nombre est nettement plus élevé dans la réalité, car les sites web peuvent interagir avec des bases de données sur des sous-pages, après des actions spécifiques de l’utilisateur ou sur des parties authentifiées de la page », écrivent les chercheurs dans une note de blog.

À l’heure actuelle, les utilisateurs ne peuvent pas faire grand-chose pour se protéger. Activer le mode de navigation privée ne change rien au problème. Sur Mac, on peut toujours utiliser un autre navigateur... Mais pas sur iPhone et iPad, car sur ces plates-formes, tous les navigateurs embarquent le même moteur de rendu, et donc les mêmes failles. Il faudra ainsi attendre une mise à jour de Safari. L’éditeur a été alerté le 28 novembre 2021. Il faut espérer qu’un correctif soit bientôt publié.

 Source FingerprintJS