Ouvrir le menu principal

MacGeneration

Recherche

Safari 15 : un bug peut révéler un historique de navigation et une identité

Florian Innocente

Monday 17 January 2022 à 07:51 • 42

Logiciels

La dernière version 15 de Safari contient un bug qui permet à un site de suivre l'historique de navigation d'un utilisateur et, dans certains cas, à récupérer quelques informations sur son identité.

Dans un billet, le développeur de la solution FingerprintJS de détection de fraudes en ligne explique les détails de ce défaut logiciel qui touche l'API IndexedDB et concerne toutes les versions de Safari 15 sur Mac, iPhone et iPad, ainsi que les autres navigateurs sur iOS et iPadOS puisqu'Apple les oblige à utiliser le même moteur qu'elle.

IndexedDB est utilisé par les navigateurs pour créer de petites bases de données sur l'appareil de l'utilisateur et y stocker des informations sur les sites en train d'être visités. Chaque site génère sa propre base et ne s'occupe normalement que d'elle.

Mais avec ce bug, chaque fois qu'un site interagit avec sa base de données, une copie — vide — de celle-ci est créée pour les autres onglets ou fenêtre actifs et dans lesquels d'autres sites sont consultés. Dès lors, ceux-ci ont la possibilité de prendre connaissance de l'activité web qui se déroule dans l'onglet ou la fenêtre voisine, jusqu'à ce que vous quittiez Safari.

Ces bases de données dupliquées ont beau être vides, il est courant qu'elles portent le nom du site qui les a créées ou même qu'elles soient baptisées avec un identifiant spécifique à l'utilisateur.

FingerprintJS prend comme exemple Google Calendar, Keep et YouTube qui utilisent un numéro de matricule interne correspondant au compte Google de l'internaute. Il est alors possible pour un site malveillant de retrouver quelques infos publiques liées à ce compte Google et de le croiser avec les noms des sites visités obtenus par la lecture des intitulés des autres bases IndexedBD.

D'après les essais de FingerprintJS, parmi les 1000 sites les plus visités référencés par Alexa, une trentaine interagissent avec IndexedBD dès l'arrivée sur leur page d'accueil. Et il est fort probable que le chiffre soit beaucoup plus important. Ce qui laisse entendre qu'un site capable de jouer avec ce bug peut récupérer un historique de navigation de l'utilisateur assez intéressant.

Ce problème ne peut être contourné par l'utilisation de la navigation privée, celle-ci ne fait que limiter sa zone d'opération. Dans ce cas de figure les sessions de navigation sont restreintes au niveau de chaque onglet ouvert ou fenêtre, mais tout ce qui est consulté à l'intérieur d'eux est touché par le même dysfonctionnement.

On peut désactiver JavaScript mais ce n'est pas réaliste pour une utilisation normale. Ou bien changer temporairement de navigateur sur Mac. Il faut dans tous les cas attendre un correctif d'Apple, mais ce bug a été soumis au WebKit Bug Tracker depuis déjà la fin novembre. Une page de démo a été mise en place pour le montrer en action : https://safarileaks.com

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Un iPhone 16 Pro Max déjà vendu sur eBay, qu'il ne fallait surtout pas perdre dans un bar ou tester avec Geekbench

12:30

• 16


Craig Federighi empAIe son chien avec Image Playground

10:45

• 28


Les AirPods 4 n'ont plus de bouton visible

10:44


Le générateur de vidéos par IA d’Adobe sera lancé d’ici la fin de l’année

07:00

• 21


UPDF : jusqu'à 50 % de réduction et un iPhone 16 à gagner !!

Partenaire


Boulanger, Cultura et d’autres sites victimes de fuites de données

11/09/2024 à 21:17

• 39


Huit nouveaux emojis, des hiéroglyphes et des jeux vidéo dans Unicode 16.0

11/09/2024 à 19:30

• 7


Commandez dès maintenant votre coque pour iPhone 16 📍

11/09/2024 à 16:11


Free met à jour ses Freebox et répéteurs Wi-Fi 7 pour des soucis en 2,4 GHz

11/09/2024 à 15:45

• 12


Starlink passe de 59 à 72 € mensuels en mobilité, mais en couverture mondiale

11/09/2024 à 14:30

• 5


Back to School : les AirPods 4 maintenant offerts pour l’achat d’un Mac

11/09/2024 à 12:30

• 3


Puces A18 et A18 Pro : Apple abandonne le Bionic et livre un A18 qui ressemble à un A17

11/09/2024 à 11:14


Tesla ne promet plus la conduite entièrement autonome pour les nouveaux clients américains

11/09/2024 à 10:04

• 55


Le MagSafe double le Qi2 pour la recharge sans fil des iPhone 16

10/09/2024 à 20:44


La PlayStation 5 Pro s'approche du prix d'un iPhone 16 : 920 € avec le lecteur de disques

10/09/2024 à 18:53

• 142


Europe : l'amende de 2,4 milliards pour Google Shopping est confirmée

10/09/2024 à 18:30

• 35