Ouvrir le menu principal

MacGeneration

Recherche

Safari 15 : un bug peut révéler un historique de navigation et une identité

Florian Innocente

lundi 17 janvier 2022 à 07:51 • 42

Logiciels

La dernière version 15 de Safari contient un bug qui permet à un site de suivre l'historique de navigation d'un utilisateur et, dans certains cas, à récupérer quelques informations sur son identité.

Dans un billet, le développeur de la solution FingerprintJS de détection de fraudes en ligne explique les détails de ce défaut logiciel qui touche l'API IndexedDB et concerne toutes les versions de Safari 15 sur Mac, iPhone et iPad, ainsi que les autres navigateurs sur iOS et iPadOS puisqu'Apple les oblige à utiliser le même moteur qu'elle.

IndexedDB est utilisé par les navigateurs pour créer de petites bases de données sur l'appareil de l'utilisateur et y stocker des informations sur les sites en train d'être visités. Chaque site génère sa propre base et ne s'occupe normalement que d'elle.

Mais avec ce bug, chaque fois qu'un site interagit avec sa base de données, une copie — vide — de celle-ci est créée pour les autres onglets ou fenêtre actifs et dans lesquels d'autres sites sont consultés. Dès lors, ceux-ci ont la possibilité de prendre connaissance de l'activité web qui se déroule dans l'onglet ou la fenêtre voisine, jusqu'à ce que vous quittiez Safari.

Ces bases de données dupliquées ont beau être vides, il est courant qu'elles portent le nom du site qui les a créées ou même qu'elles soient baptisées avec un identifiant spécifique à l'utilisateur.

FingerprintJS prend comme exemple Google Calendar, Keep et YouTube qui utilisent un numéro de matricule interne correspondant au compte Google de l'internaute. Il est alors possible pour un site malveillant de retrouver quelques infos publiques liées à ce compte Google et de le croiser avec les noms des sites visités obtenus par la lecture des intitulés des autres bases IndexedBD.

D'après les essais de FingerprintJS, parmi les 1000 sites les plus visités référencés par Alexa, une trentaine interagissent avec IndexedBD dès l'arrivée sur leur page d'accueil. Et il est fort probable que le chiffre soit beaucoup plus important. Ce qui laisse entendre qu'un site capable de jouer avec ce bug peut récupérer un historique de navigation de l'utilisateur assez intéressant.

Ce problème ne peut être contourné par l'utilisation de la navigation privée, celle-ci ne fait que limiter sa zone d'opération. Dans ce cas de figure les sessions de navigation sont restreintes au niveau de chaque onglet ouvert ou fenêtre, mais tout ce qui est consulté à l'intérieur d'eux est touché par le même dysfonctionnement.

On peut désactiver JavaScript mais ce n'est pas réaliste pour une utilisation normale. Ou bien changer temporairement de navigateur sur Mac. Il faut dans tous les cas attendre un correctif d'Apple, mais ce bug a été soumis au WebKit Bug Tracker depuis déjà la fin novembre. Une page de démo a été mise en place pour le montrer en action : https://safarileaks.com

Soutenez MacGeneration sur Tipeee

MacGeneration a besoin de vous

Vous pouvez nous aider en vous abonnant ou en nous laissant un pourboire

Soutenez MacGeneration sur Tipeee

Le MacBook A18 Pro entrerait en production à la fin de l’année, pour un prix d’entrée de 599 dollars

17/09/2025 à 21:30

• 22


macOS 26 ne veut pas s’installer sur les Mac Studio M3 Ultra

17/09/2025 à 20:00

• 34


Apple ne devrait pas avoir la primeur sur la gravure en 1,6 nm de TSMC : Nvidia passerait avant

17/09/2025 à 18:30

• 11


macOS Tahoe : plus besoin de KVM pour se connecter à un Mac après une panne de courant

17/09/2025 à 17:15

• 5


Revue de tests de l’iPhone Air : le design séduit, les compromis interrogent

17/09/2025 à 16:32

• 98


Revue des tests des iPhone 17 Pro : ils chauffent moins, mais ne réinventent pas la roue

17/09/2025 à 16:20

• 43


Est-ce que mettre la TV en pause, c'est de la copie privée ? SFR pense que non, Copie France pense que si

17/09/2025 à 16:20

• 85


macOS Tahoe : Apple simplifie la configuration de FileVault en augmentant sa sécurité

17/09/2025 à 15:30

• 24


Le codec AV2 annoncé, alors qu'Apple peine à prendre en charge massivement l'AV1

17/09/2025 à 13:45

• 23


tvOS 26 à l’essai : notre prise en main des nouveautés pour l’Apple TV

17/09/2025 à 13:15

• 18


Kuo : Apple lancera un MacBook Pro à écran OLED tactile fin 2026

17/09/2025 à 12:07

• 45


10 € de réduction sur l'ensemble des coques Apple pour les nouveaux iPhone

17/09/2025 à 10:50

• 0


Promo : le MacBook Air M4 15" avec 24 Go de RAM et 512 Go de stockage à son prix le plus bas

17/09/2025 à 10:39

• 4


macOS Tahoe peut se connecter automatiquement au partage de connexion d’un iPhone

17/09/2025 à 09:35

• 22


iOS 26 : RCS, nouveau Siri, météo par satellite… le programme des prochains mois

17/09/2025 à 09:00

• 37


4K, 5K, 6K : le guide des meilleurs écrans externes pour votre Mac

17/09/2025 à 08:40

• 35