Le bogue pourrait exposer votre historique de recherche et votre ID utilisateur Google à des sites Web tiers – un problème majeur de confidentialité qu’Apple n’a pas encore résolu.
Un service de détection d’empreintes digitales et de fraude, FingerprintJS, a récemment découvert et décrit un bogue dans Safari 15 qui peut suivre les activités de navigation et même révéler votre identité aux sites Web. Toute personne utilisant la dernière version de macOS, iOS et iPadOS, ainsi que les utilisateurs du navigateur Safari, risque de subir des fuites de données.
À propos du bogue
Le bogue Safari 15 provient de l’implémentation par Apple de l’API JavaScript, appelée IndexedDB. L’implémentation, cependant, viole la politique de même origine d’IndexedDB – un mécanisme de sécurité principal qui empêche les documents et les scripts d’une origine d’interagir avec les ressources d’une autre. Cela se traduit par le bogue permettant à un site Web d’accéder à une base de données d’un autre site Web, alors que dans des conditions normales, cela ne devrait jamais être le cas. En règle générale, les bases de données indexées ont chacune une origine distincte, et les documents et scripts d’une même origine ne doivent jamais pouvoir accéder à des bases de données d’origines différentes.
Chaque fois qu’un site Web interagit avec une base de données, une nouvelle base de données (vide) portant le même nom est créée dans tous les autres cadres, onglets et fenêtres actifs au sein de la même session de navigateur.
La violation évidente de la vie privée résultant de ce bogue laisse donc la porte grande ouverte à toutes sortes de pratiques et d’abus de suivi croisé. Par exemple, des sites Web aléatoires, y compris des sites malveillants, pourraient voir le nom d’une base de données créée sur un site avec des détails spécifiques à l’identité de quelqu’un. En outre, Google User ID permet à Google d’accéder aux informations de l’utilisateur, telles que les images de profil ou les noms, ce que ce bogue Safari a rendu accessible à d’autres sites Web.
Le pire, c’est que ces fuites ne nécessitent aucune action supplémentaire de la part d’un utilisateur. Un onglet ou une fenêtre fonctionnant en arrière-plan peut voir quels autres sites Web un utilisateur visite en temps réel, car le bogue interroge continuellement l’API IndexedDB à la recherche des bases de données disponibles. De plus, un site Web peut ouvrir un autre site Web dans une fenêtre contextuelle et y déclencher une fuite.
Inspectez les fuites avec une démo par FingerprintJS
FingerprintJS a créé une démo qui utilise la vulnérabilité IndexedDB du navigateur pour identifier les sites infectés (parmi ceux que vous utilisez actuellement ou que vous avez utilisés récemment). La démo montre également comment les informations de votre ID utilisateur Google sont récupérées si vous êtes connecté à votre compte Google pendant la navigation. Vous pouvez essayer la démo sur Safari et tous les navigateurs Web iOS et iPadOS.
Jusqu’à présent, FingerprintJS a testé plus de 1 000 sites Web et identifié plus de 30 sites Web affectés par le bogue, y compris les populaires planétaires Instagram, Twitter, Netflix et Xbox. Les chercheurs soupçonnent toutefois que ce nombre est beaucoup plus élevé dans la vie réelle, car les sites Web peuvent interagir avec des bases de données sur des sous-pages s’ils sont soutenus par des actions spécifiques de l’utilisateur.
Comment les utilisateurs Mac, iOS et Safari peuvent-ils se protéger ?
Malheureusement, ce problème n’a pas encore été résolu et les clients Apple ne peuvent pas faire grand-chose pour se protéger des sites exploitant le bogue pour le moment. Une mesure drastique que vous pourriez essayer consiste à bloquer tout JavaScript par défaut et à ne l’autoriser que sur des sites Web de confiance. Cependant, cela pourrait perturber votre expérience de navigation et rien ne garantit que vous ne serez pas ciblé via des sites de confiance.
Si vous êtes un utilisateur Mac, vous pouvez passer à un navigateur plus sûr jusqu’à ce que la vulnérabilité soit corrigée. Malheureusement, les utilisateurs d’iOS et d’iPadOS n’ont pas cette option car Apple a interdit les moteurs de navigateur tiers sur iOS, ce qui a rendu tous les utilisateurs d’iOS encore plus sujets à ce bogue. Donc, tout ce que nous pouvons faire est d’attendre de mettre à jour notre système d’exploitation une fois qu’Apple aura résolu ce problème. Nous ne pouvons qu’espérer que cela se produira bientôt car la vie privée des utilisateurs et la réputation de l’entreprise sont, une fois de plus, en jeu.
