Ouvrir le menu principal

MacGeneration

Recherche

Safari 15 : un bug peut révéler un historique de navigation et une identité

Florian Innocente

lundi 17 janvier 2022 à 07:51 • 42

Logiciels

La dernière version 15 de Safari contient un bug qui permet à un site de suivre l'historique de navigation d'un utilisateur et, dans certains cas, à récupérer quelques informations sur son identité.

Dans un billet, le développeur de la solution FingerprintJS de détection de fraudes en ligne explique les détails de ce défaut logiciel qui touche l'API IndexedDB et concerne toutes les versions de Safari 15 sur Mac, iPhone et iPad, ainsi que les autres navigateurs sur iOS et iPadOS puisqu'Apple les oblige à utiliser le même moteur qu'elle.

IndexedDB est utilisé par les navigateurs pour créer de petites bases de données sur l'appareil de l'utilisateur et y stocker des informations sur les sites en train d'être visités. Chaque site génère sa propre base et ne s'occupe normalement que d'elle.

Mais avec ce bug, chaque fois qu'un site interagit avec sa base de données, une copie — vide — de celle-ci est créée pour les autres onglets ou fenêtre actifs et dans lesquels d'autres sites sont consultés. Dès lors, ceux-ci ont la possibilité de prendre connaissance de l'activité web qui se déroule dans l'onglet ou la fenêtre voisine, jusqu'à ce que vous quittiez Safari.

Ces bases de données dupliquées ont beau être vides, il est courant qu'elles portent le nom du site qui les a créées ou même qu'elles soient baptisées avec un identifiant spécifique à l'utilisateur.

FingerprintJS prend comme exemple Google Calendar, Keep et YouTube qui utilisent un numéro de matricule interne correspondant au compte Google de l'internaute. Il est alors possible pour un site malveillant de retrouver quelques infos publiques liées à ce compte Google et de le croiser avec les noms des sites visités obtenus par la lecture des intitulés des autres bases IndexedBD.

D'après les essais de FingerprintJS, parmi les 1000 sites les plus visités référencés par Alexa, une trentaine interagissent avec IndexedBD dès l'arrivée sur leur page d'accueil. Et il est fort probable que le chiffre soit beaucoup plus important. Ce qui laisse entendre qu'un site capable de jouer avec ce bug peut récupérer un historique de navigation de l'utilisateur assez intéressant.

Ce problème ne peut être contourné par l'utilisation de la navigation privée, celle-ci ne fait que limiter sa zone d'opération. Dans ce cas de figure les sessions de navigation sont restreintes au niveau de chaque onglet ouvert ou fenêtre, mais tout ce qui est consulté à l'intérieur d'eux est touché par le même dysfonctionnement.

On peut désactiver JavaScript mais ce n'est pas réaliste pour une utilisation normale. Ou bien changer temporairement de navigateur sur Mac. Il faut dans tous les cas attendre un correctif d'Apple, mais ce bug a été soumis au WebKit Bug Tracker depuis déjà la fin novembre. Une page de démo a été mise en place pour le montrer en action : https://safarileaks.com

Rejoignez le Club iGen

Soutenez le travail d'une rédaction indépendante.

Rejoignez la plus grande communauté Apple francophone !

S'abonner

Pas d’iPad pliable avant longtemps ? Apple mettrait le projet sur pause

07:34

• 3


Une multiprise avec ports USB bien pratique et compacte pour le bureau

02/07/2025 à 21:45

• 7


SFR : le retour à trois opérateurs se prépare chez Orange, Bouygues et Free

02/07/2025 à 17:43

• 58


Kernel Panic : que valent les premières bêtas d’iOS et macOS 26 ?

02/07/2025 à 17:00

• 17


Polysoft va bientôt proposer un kit pour augmenter le stockage des Mac Studio M3/M4

02/07/2025 à 16:44

• 24


Refurb : jusqu'à -370 € sur l'Apple Studio Display 5K

02/07/2025 à 16:28

• 6


Free propose un an de fibre optique à 19,99 € par mois avec la Freebox Revolution Light

02/07/2025 à 11:59

• 53


Produits Apple : vers une baisse de prix à la rentrée grâce à la faiblesse du dollar ?

02/07/2025 à 11:38

• 30


Apple Store : le crédit à 0 % prolongé cet été

02/07/2025 à 10:14

• 33


Stockage cloud : l’offre pCloud Lifetime avec 70 % de remise jusqu’au 15 juillet 📍

02/07/2025 à 08:08

• 0


Apple fait une nouvelle mise à jour de son antimalware XProtect

01/07/2025 à 22:13

• 11


L'absence de ventilateurs de certains Mac portable peut les protéger des malwares

01/07/2025 à 19:30

• 17


Mactracker 8 synchronise votre collection de produits Apple sur tous vos Mac

01/07/2025 à 17:44

• 8


Passez à CarPlay sans fil pour moins de 20 €

01/07/2025 à 16:53

• 49


De très nombreuses failles dangereuses dans les imprimantes de Brother (et quelques autres)

01/07/2025 à 15:24

• 9


Bon plan Wi-Fi : l’Eero 6 (3 modules) à 130 € seulement

01/07/2025 à 13:30

• 20