Un exploit dans Safari permet l'accès aux infos de compte Google et à l'historique de navigation

Nathan Le Gohlisse
Spécialiste Hardware
17 janvier 2022 à 15h21
8
Safari MacBook Pro © © Nathan Le Gohlisse pour Clubic
© Nathan Le Gohlisse pour Clubic

Une importante faille de sécurité découverte dans Safari , le navigateur d'Apple, peut permettre à des tiers de consulter votre historique de navigation récent. Elle permet aussi d'offrir un accès à certaines informations relatives à votre compte Google.

Que ce soit sur votre Mac, votre iPhone ou votre iPad, Safari est vulnérable à une faille de sécurité préoccupante. Non corrigée par Apple à cette heure, elle résulte d'un bug découvert dans l'implémentation de l'API Indexed Database (IndexedDB) sur Safari. Ce bug permet à un site web de voir les noms des bases de données de n'importe quel domaine, et pas seulement le sien, résume 9to5Mac, qui précise que ces noms peuvent alors être utilisés pour extraire des informations plus ou moins sensibles.

Safari en difficulté…

Les informations extraites peuvent en effet renseigner des tiers sur une partie de votre historique de navigation récent et peuvent également compromettre, dans une certaine mesure, votre compte Google. Les services de Google stockent en effet une instance IndexedDB pour chacun de vos comptes connectés. En exploitant cette faille, un site malveillant peut ainsi récupérer votre identifiant Google et l'utiliser pour obtenir d'autres informations personnelles vous concernant.

Dans une démo partagée sur le blog de FingerprintJS, les chercheurs en sécurité à l'origine de la découverte démontrent qu'il est possible d'exploiter l'identifiant Google obtenu grâce à cette faille pour désanonymiser l'utilisateur cible, en mettant par exemple la main sur sa photo de profil. Une simple instance IndexedDB ne devrait normalement pas le permettre.

Toutes les versions du navigateur sont concernées

Pour les besoins de leur démonstration, les chercheurs ont testé la faille avec une trentaine de noms de domaines différents, mais il est vraisemblable que ce bug peut en compromettre bien d'autres. 9to5Mac souligne que n'importe quel site utilisant l'API IndexedDB est potentiellement vulnérable à ce type de récupération de données si l'utilisateur passe par Safari, quelle que soit la version du navigateur ou l'appareil utilisé.

Cette faille a été signalée à Apple le 28 novembre dernier par les chercheurs de FingerprintJS, mais n'a pas encore fait l'objet d'un correctif. La solution, sur le papier, paraît pourtant simple : il suffirait qu'à l'instar de Google Chrome (entre autres), Safari ne permette aux site web de ne voir que les bases de données créées par leur propre nom de domaine.

Source : 9to5Mac

Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
8
8
Fatima
Titre, « un exploit »?
kast_or
fr.wikipedia.org<br /> Exploit (informatique)<br /> Pages pour les éditeurs déconnectés en savoir plus<br /> Pour les articles homonymes, voir Exploit.<br /> Un exploit ou code d'exploitation est, dans le domaine de la sécurité informatique, un élément de programme permettant à un individu ou à un logiciel malveillant d'exploiter une faille de sécurité informatique dans un système informatique.<br />
tfpsly
Pb sur iPhone ou iPad :<br /> tous les browsers utilisent le moteur de Safari, donc tous les browsers sont touchés.<br /> Safari fait partie des màj de l’OS; impossible de juste mettre à jour cette app, il faut une mise à jour de l’OS.<br />
kast_or
Ok, au temps pour moi
Francis7
peut permettre à des tiers de consulter votre historique de navigation récent. Elle permet aussi d’offrir un accès à certaines informations relatives à votre compte Google<br /> Je croyais que c’était une pratique courante sur internet.
HAL1
Exact. Le fait qu’Apple impose le moteur de rendu sur iOS et iPadOS fait qu’en cas de problème avec celui-ci, que ça soit une faille de sécurité ou un bug, il faut attendre que la Pomme veuille bien le corriger. Et si elle ne le fait pas (sur le versions plus anciennes du système, par exemple), eh bien l’utilisateur n’a aucune alternative.<br /> Et pourtant, c’est quelque chose dont les médias ne parlent quasiment jamais, même ceux portés sur la technologie. Ils encensent généralement Apple, en se gardant bien de pointer ce genre de risques.
alsaco67
Je suis utilisateur Mac depuis 12 ans et de Windows depuis Windows 3.1 si je me souviens bien.<br /> J’ai vu les évolutions des deux OS et bien que je sois équipé Apple totalement, j’ai plaisir à utiliser Windows 11 qui a beaucoup plus progresser que MacOS et notamment, un comble il y a quelques années, en terme d’ergonomie.<br /> Il y a aussi chez les clients Apple des personnes objectives qui pointent ce qui ne va pas mais qui, il est vrai, ne fait pas les gros titres dans les médias comme pour les autres sociétés de la Tech. Il y a sans doute une raison que je ne connais pas expliquant cet dévotion à la marque, dévotion que je trouve risible. Comme si une marque s’intéressait à autre chose qu’à son chiffre d’affaires et donc à l’argent de ses clients … Sur Pluton, peut-être, sur Terre, non
Yoh13
J’aime les produits de cette marque , j’en possède plusieurs.<br /> Mais je suis le premier que l’innovation commence a tarder sur pas mal d’os de la marque.<br /> J’espère qu’ils corrigeront ca vite.
Voir tous les messages sur le forum

Lectures liées

Vous cherchez à obtenir Photoshop ? Cette promo Adobe est faite pour vous !
Google Cloud va enfin lancer ses data centers en France
Windows 11 preview 25120 : bureau interactif et compatibilité ARM64
Renault va mettre un navigateur dans sa Mégane E-Tech, mais pas celui que vous pensez
Brave renforce encore la protection de votre vie privée sur iOS
Shadow repense son offre de cloud computing et annonce un drive gratuit de 20 Go
Découvrez l'app Microsoft Designer en images, le successeur de Publisher ?
Surfshark VPN s'offre enfin une interface sous Linux
Apple dévoile ses prochaines fonctionnalités d'accessibilité : détection de porte, Live Caption, etc.
iOS 15.5 : voici toutes les nouveautés déployées sur votre iPhone par la nouvelle mise à jour Apple
Haut de page