Une faille a permis à des chercheurs en sécurité de faire passer à Safari des vessies pour des lanternes. Le navigateur web d’Apple croit ainsi surfer sur le DailyMail.co.uk, mais dans les faits il affiche une page qui n’a rien à voir même si c’est bien l’URL du quotidien britannique qui s’affiche dans la barre d’adresses. Cette usurpation d’adresse IP (spoofing) touche aussi bien la version iOS qu’OS X de Safari :

Il arrive parfois que sur iPhone et iPad, la page du DailyMail finisse malgré tout par se charger (c'est aussi le cas, au bout d'un moment, sur OS X : la page ne cessant de se recharger, le navigateur n'arrive plus à suivre la cadence et lance finalement le site demandé). Et Chrome peut aussi souffrir de la même faille, d’après nos tests réalisés à partir de la page d’exemple : à l'instar de Safari, le navigateur de Google réussit au bout d’un moment à charger le site désiré.

Exploitée par de mauvaises mains, cette vulnérabilité pourrait servir à des malandrins pour tromper des internautes croyant surfer sur des sites dignes de confiance : ils pourraient bien laisser des identifiants et des mots de passe, voire des numéros de cartes bancaires, sans oublier la possibilité d’installer des malwares par ce biais.

Edit : avec la précision du chargement du site désiré dans Safari pour OS X.