Un exploit dans Safari permet l'accès aux infos de compte Google et à l'historique de navigation

Nathan Le Gohlisse
Spécialiste Hardware
17 janvier 2022 à 15h21
8
© Nathan Le Gohlisse pour Clubic
© Nathan Le Gohlisse pour Clubic

Une importante faille de sécurité découverte dans Safari, le navigateur d'Apple, peut permettre à des tiers de consulter votre historique de navigation récent. Elle permet aussi d'offrir un accès à certaines informations relatives à votre compte Google.

Que ce soit sur votre Mac, votre iPhone ou votre iPad, Safari est vulnérable à une faille de sécurité préoccupante. Non corrigée par Apple à cette heure, elle résulte d'un bug découvert dans l'implémentation de l'API Indexed Database (IndexedDB) sur Safari. Ce bug permet à un site web de voir les noms des bases de données de n'importe quel domaine, et pas seulement le sien, résume 9to5Mac, qui précise que ces noms peuvent alors être utilisés pour extraire des informations plus ou moins sensibles.

Safari en difficulté…

Les informations extraites peuvent en effet renseigner des tiers sur une partie de votre historique de navigation récent et peuvent également compromettre, dans une certaine mesure, votre compte Google. Les services de Google stockent en effet une instance IndexedDB pour chacun de vos comptes connectés. En exploitant cette faille, un site malveillant peut ainsi récupérer votre identifiant Google et l'utiliser pour obtenir d'autres informations personnelles vous concernant.

Dans une démo partagée sur le blog de FingerprintJS, les chercheurs en sécurité à l'origine de la découverte démontrent qu'il est possible d'exploiter l'identifiant Google obtenu grâce à cette faille pour désanonymiser l'utilisateur cible, en mettant par exemple la main sur sa photo de profil. Une simple instance IndexedDB ne devrait normalement pas le permettre.

Toutes les versions du navigateur sont concernées

Pour les besoins de leur démonstration, les chercheurs ont testé la faille avec une trentaine de noms de domaines différents, mais il est vraisemblable que ce bug peut en compromettre bien d'autres. 9to5Mac souligne que n'importe quel site utilisant l'API IndexedDB est potentiellement vulnérable à ce type de récupération de données si l'utilisateur passe par Safari, quelle que soit la version du navigateur ou l'appareil utilisé.

Cette faille a été signalée à Apple le 28 novembre dernier par les chercheurs de FingerprintJS, mais n'a pas encore fait l'objet d'un correctif. La solution, sur le papier, paraît pourtant simple : il suffirait qu'à l'instar de Google Chrome (entre autres), Safari ne permette aux site web de ne voir que les bases de données créées par leur propre nom de domaine.

Source : 9to5Mac

Nathan Le Gohlisse

Nathan Le Gohlisse

Spécialiste Hardware

Spécialiste Hardware

Passionné de nouvelles technos, d'Histoire et de vieux Rock depuis tout jeune, je suis un PCiste ayant sombré corps et biens dans les délices de macOS. J'aime causer Tech et informatique sur le web, i...

Lire d'autres articles

Passionné de nouvelles technos, d'Histoire et de vieux Rock depuis tout jeune, je suis un PCiste ayant sombré corps et biens dans les délices de macOS. J'aime causer Tech et informatique sur le web, ici et ailleurs. N’hésitez pas à me retrouver sur Twitter !

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (8)

Fatima
Titre, « un exploit »?
kast_or
fr.wikipedia.org<br /> Exploit (informatique)<br /> Pages pour les éditeurs déconnectés en savoir plus<br /> Pour les articles homonymes, voir Exploit.<br /> Un exploit ou code d'exploitation est, dans le domaine de la sécurité informatique, un élément de programme permettant à un individu ou à un logiciel malveillant d'exploiter une faille de sécurité informatique dans un système informatique.<br />
tfpsly
Pb sur iPhone ou iPad :<br /> tous les browsers utilisent le moteur de Safari, donc tous les browsers sont touchés.<br /> Safari fait partie des màj de l’OS; impossible de juste mettre à jour cette app, il faut une mise à jour de l’OS.<br />
kast_or
Ok, au temps pour moi
Francis7
peut permettre à des tiers de consulter votre historique de navigation récent. Elle permet aussi d’offrir un accès à certaines informations relatives à votre compte Google<br /> Je croyais que c’était une pratique courante sur internet.
HAL1
Exact. Le fait qu’Apple impose le moteur de rendu sur iOS et iPadOS fait qu’en cas de problème avec celui-ci, que ça soit une faille de sécurité ou un bug, il faut attendre que la Pomme veuille bien le corriger. Et si elle ne le fait pas (sur le versions plus anciennes du système, par exemple), eh bien l’utilisateur n’a aucune alternative.<br /> Et pourtant, c’est quelque chose dont les médias ne parlent quasiment jamais, même ceux portés sur la technologie. Ils encensent généralement Apple, en se gardant bien de pointer ce genre de risques.
alsaco67
Je suis utilisateur Mac depuis 12 ans et de Windows depuis Windows 3.1 si je me souviens bien.<br /> J’ai vu les évolutions des deux OS et bien que je sois équipé Apple totalement, j’ai plaisir à utiliser Windows 11 qui a beaucoup plus progresser que MacOS et notamment, un comble il y a quelques années, en terme d’ergonomie.<br /> Il y a aussi chez les clients Apple des personnes objectives qui pointent ce qui ne va pas mais qui, il est vrai, ne fait pas les gros titres dans les médias comme pour les autres sociétés de la Tech. Il y a sans doute une raison que je ne connais pas expliquant cet dévotion à la marque, dévotion que je trouve risible. Comme si une marque s’intéressait à autre chose qu’à son chiffre d’affaires et donc à l’argent de ses clients … Sur Pluton, peut-être, sur Terre, non
Yoh13
J’aime les produits de cette marque , j’en possède plusieurs.<br /> Mais je suis le premier que l’innovation commence a tarder sur pas mal d’os de la marque.<br /> J’espère qu’ils corrigeront ca vite.
Voir tous les messages sur le forum

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

Un exploit dans Safari permet l'accès aux infos de compte Google et à l'historique de navigation Un exploit dans Safari permet l'accès aux infos de compte Google et à l'historique de navigation
Faille dans Safari : Apple prépare un correctif Faille dans Safari : Apple prépare un correctif
Apple M1 : tout savoir sur Pacman Attack, cette vulnérabilité Apple M1 : tout savoir sur Pacman Attack, cette vulnérabilité "non patchable"
Pour votre sécurité, Google bridera les manettes de jeu connectées à Chrome Pour votre sécurité, Google bridera les manettes de jeu connectées à Chrome
Apple : un correctif de bugs Apple : un correctif de bugs "activement exploités" pour iOS 15.3 et macOS 12.2