Des failles dans les outils anti-traçage de Safari permettaient de suivre les internautes à la trace

Mickaël Bazoge |

Apple, qui se présente volontiers comme le champion de la confidentialité, essuie depuis quelques jours une attaque en piqué sur plusieurs fronts. Il y a tout d'abord ces requêtes insistantes — et sans doute pas dénuées d'arrière-pensées — de l'administration Trump pour forer une porte dérobée dans l'iPhone. Il y a également cette histoire d'abandon du chiffrement intégral des sauvegardes iCloud.

On n'est que mercredi, et voici un nouveau souci pour Apple. Des chercheurs de Google ont mis au jour des failles de sécurité dans le système de prévention intelligente du traçage (Intelligent Tracking Prevention, ITP) de Safari. Ironie de l'histoire, ces vulnérabilités ont pu permettre aux malandrins de suivre à la trace les utilisateurs du navigateur, alors que cet ensemble de fonctionnalités est justement censé mettre des bâtons dans les roues des pisteurs professionnels.

Google a prévenu Apple en août dernier, et en décembre la Pomme annonçait avoir corrigé les failles de sécurité, sans entrer dans les détails. Une note sur le blog de WebKit a d'ailleurs remercié le moteur de recherche pour ses découvertes. Pas de panique donc, mais il est vrai que cette annonce intervient à un mauvais moment.

Les plus courageux iront consulter les détails du rapport dans ce PDF. Les chercheurs ont identifié cinq vecteurs d'attaques potentielles rendues possibles par ces failles. Les forbans pouvaient obtenir des « données confidentielles sensibles sur les habitudes de navigation internet de l'utilisateur », explique Lukasz Olejnik, un chercheur indépendant en sécurité interrogé par le Financial Times.

Les algorithmes au cœur des fonctions anti-traçage de Safari sont exécutés en local, sur l'appareil, ce qui leur permet de « détecter le comportement de l'utilisateur et d'en savoir toujours plus automatiquement. Cet aspect centré sur l'utilisateur explique en partie pourquoi le risque de fuites d'informations était possible », constate-t-il. Des informations comme l'historique de navigation.

Une autre faille de sécurité ITP permet à un bandit de créer « une "empreinte digitale" numérique persistante qui suit l'internaute partout sur internet ». Une autre est en mesure de connaitre les recherches sur internet d'un individu. Bref, il faut toujours remettre vingt fois son ouvrage sur le métier, surtout quand on fait vœu de protéger ses utilisateurs.

avatar occam | 

Ça, plus cuck00 qui traîne depuis 20 ans, plus les failles Intel qui s’accumulent, on ne peut pas se plaindre : la vie des utilisateurs de Mac ne risque pas de sombrer dans un morne ennui.
https://siguza.github.io/cuck00/

avatar e2x | 

Quel paradoxe !
Étrangement alors que les niveaux de sécurité sont dits décuplés par Apple au point d’emmerder l’utilisateur lambda (autoriser ceci cela, fermer des fenêtres à chaque détour de click, retrait d’extensions..), pour la 1re fois depuis 20ans d’utilisation de Mac, j’ai dû récemment me battre avec une espèce de virus pour navigateurs qui prend la place dans la barre d’adresse de Google/duckduckgo/...ou autre moteur de recherche que tu aurais choisi. 😳 Pompage d’infos, impossibilités de rentrer certaines infos, ...et plus selon le web.
🤔 Je m’en suis débarrassé mais quel coïncidence, en ces temps de débats sur la sécurité

avatar reborn | 

@e2x

Sous Catalina ?

avatar Depret Lucas | 

@e2x

Ça a été régler en décembre 🤷‍♂️

avatar roccoyop | 

@e2x

Il suffit de ne pas télécharger et installer d’applications à partir de sites douteux, mais toujours sur les sites des éditeurs.

avatar huexley | 

"Il suffit de" ben non justement… Ce n'est parfois pas suffisant…

Et excusez moi mais je pense que toutes ces notifications d'autorisation ne sont en rien un gage de qualité ni de sécurité, reporter les demandes à l 'utilisateur final c'est clairement un moyen de se dédouaner en cas de problème

avatar roccoyop | 

@huexley

La seule fois où j’ai eu ce genre de problème c’est lors d’un téléchargement sur macupdate d’un utilitaire que j’avais du mal à trouver ailleurs.

Et je suis d’accord avec toi, les nombreux messages d’avertissement c’est un peu un dédouanement de la part d’Apple. Il faudrait peut-être avoir ce genre d’avertissement au début, pour édicter la personne, mais les arrêter au bout d’un certain temps, parce qu’au bout de tant d’années de pratique, on commence à comprendre qu’il faut toujours faire attention.

avatar raoolito | 

@e2x

la réalité c'est que surtout, ce genre de pratiques a décuplée ces dix dernières années, au point que dorénavant, si les fameuses protections qui vous embetent n'etaient pas là, votre mac ressemblerait à un bon vieux windows7 avec sa lourdeur et ses drames quotidiens
en gros le monde change

avatar Ducletho | 

Merci à Google pour son aide dans l’amélioration de la confidentialité Apple
Ça serait bien qu’Apple aide Google dans la publicité et le marketing pour combler leur faille de communication

avatar Depret Lucas | 

@Ducletho

???

avatar mk3d | 

« Failles »...

CONNEXION UTILISATEUR