Un Bug de Safari : Pendant des années, Apple a fait de la protection de la vie privée le thème central de ses produits.
Safari, qui est le navigateur web par défaut d’Apple, est doté d’une série de fonctions de confidentialité destinées à empêcher les sites web de capturer des données liées aux habitudes de navigation des utilisateurs et de créer des personas pouvant être utilisés pour leur servir des publicités sur d’autres sites web et plates-formes, notamment – mais pas exclusivement – Google et Facebook.
Avec Safari 15 qui a été lancé avant macOS 12 Monterey et iOS 15, Apple a renforcé ces fonctionnalités de confidentialité, notamment sa prévention du suivi intelligent pour masquer les adresses IP et les adresses e-mail des utilisateurs sur les sites web.
Cependant, un bug dans Safari et l’API WebKit d’Apple met les deux – la réputation d’Apple en matière de confidentialité ainsi que les données des utilisateurs – en danger et affecte plusieurs appareils Apple, dont l’iPhone, l’iPad et le Mac.
Le bogue a été découvert par FingerprintJS, une société qui vend des produits technologiques tels que des outils de prise d’empreintes digitales pour les administrateurs Web. Selon le World Wide Web Consortium, le Fingerprinting est une technique utilisée par les sites Web pour identifier les utilisateurs et lire ainsi que collecter leurs données avec précision, même lorsqu’ils ont désactivé les cookies.
Un bug de Safari expose une politique web fondamentale
FingerprintJS note que le bogue dans Safari 15 exploite l’API IndexedDB pour voler les données des utilisateurs. L’API IndexedDB est prise en charge par la majorité des derniers navigateurs Web et est généralement utilisée pour stocker une énorme quantité de données chez l’utilisateur. Chaque fois qu’un utilisateur navigue sur un site Web, il interagit avec la base de données du site, qui est invisible pour les autres sites Web.
Afin d’éviter que les données cruciales des utilisateurs ne soient partagées entre les appareils, de nombreux produits basés sur le Web suivent une politique d’origine identique (définie par la Fondation Mozilla).
Cette politique limite l’interaction entre les composants de différentes origines, ce qui signifie essentiellement qu’un site Web ne partagera avec un autre site Web aucune donnée cruciale basée sur les informations des utilisateurs.
Le bogue aide les produits Web à ignorer la politique de même origine, et peut permettre aux mécréants de voler potentiellement des données associées à l’identité des utilisateurs. Outre Safari 15 sur macOS, le bogue affecte tous les navigateurs web sur tous les modèles d’iPhone et d’iPad.
Parmi les sites web vulnérables, YouTube, Google Calendar
Lorsque l’utilisateur visite et navigue sur un site Web, le bogue duplique la base de données du site Web avec le même nom dans toutes les autres origines (définies ci-dessus) – y compris le cadre, l’onglet et la fenêtre.
Grâce à cette duplication de la base de données, tous les autres sites Web ouverts sur le navigateur Web dans une même session peuvent voir les données qui, à l’origine, étaient censées être limitées à l’origine des données. Cela permet aux autres sites Web d’avoir accès à la façon dont un utilisateur a interagi avec d’autres sites Web.
En outre, certains sites Web tels que Google Keep, YouTube, Google Agenda, etc. utilisent des identifiants d’utilisateur uniques. Ces identifiants contiennent des informations sur l’utilisateur particulier, y compris ses identifiants de connexion.
Si l’utilisateur possède plusieurs comptes Google ou G Suite, les sites Web utilisent des bases de données uniques pour chaque identifiant.
Dans un tel scénario, le bogue peut être exploité pour partager plus que de simples données sur les sites Web sur lesquels un utilisateur navigue. Même sans intention malveillante, d’autres sites Web peuvent au moins voir l’image d’affichage associée au compte Google d’un utilisateur.
Pire encore, si un mauvais acteur veut tirer parti de cette faille, il peut récupérer toutes les données appelées par l’API Personnes de Google lors de la connexion à des sites Web comme YouTube, et les autres mentionnés ci-dessus.
Ils peuvent même profiler les utilisateurs en combinant tous leurs identifiants ensemble, puis essayer de prendre le contrôle des comptes à l’aide d’attaques ciblées. Selon l’équipe, au moins 30 des principaux sites Web de l’Internet utilisent le framework IndexedDB, ce qui les rend vulnérables aux fuites de données.
Aucun correctif n’a encore été apporté par Apple au bug de Safari
L’équipe a également créé une page Web de démonstration à safarileaks.com pour que les utilisateurs puissent vérifier quels sites Web font fuir leurs données personnelles. Une capture d’écran de mon compte peut être vue ci-dessous :
La société indique qu’elle a déjà notifié Apple via le centre de rapport sur les bugs WebKit en novembre 2021. Apple n’a pas encore corrigé cette vulnérabilité, qui peut donc être une préoccupation majeure pour les utilisateurs d’iOS.
Pendant ce temps, si vous utilisez Safari sur macOS, il est conseillé de passer à un autre navigateur jusqu’à ce qu’Apple déploie une mise à jour avec une solution.