Une faille dans le moteur de Safari permet aux sites de connaître les autres sites ouverts dans le navigateur. © monsitj, Adobe Stock
Tech

Attention à cette faille dans Safari !

ActualitéClassé sous :cybersécurité , Apple , navigateurs

-

Une faille a été découverte dans WebKit, le moteur de rendu du navigateur Safari d'Apple. Celle-ci expose aux sites le nom d'autres sites visités en temps réel, et même dans certains cas des identifiants personnels.

Cela vous intéressera aussi

[EN VIDÉO] Kézako : comment crypte-t-on les données sur Internet ?  La cryptographie est la plus ancienne forme de chiffrement. On trouve des traces de son utilisation jusqu'en 2.000 avant J.-C. Cette technique encore utilisée aujourd’hui, notamment sur le Web, dévoile ses mystères en vidéo grâce au programme Kézako d'Unisciel et de l'université Lille 1. 

Sur leur blog officiel, les spécialistes service de traçage du navigateur FingerprintJS ont dévoilé une faille dans le moteur de rendu WebKit, qui affecte la version 15 de Safari. Le problème se trouve au niveau de son implémentation de l'API IndexedDB et a pour conséquence de permettre aux sites Web de connaître les noms d'autres sites visités.

IndexedDB est un outil présent dans tous les navigateurs qui permet aux sites de stocker des données sur l'ordinateur de l'internaute. Lorsqu'il est utilisé correctement, chaque site n'a accès qu'aux informations qu'il a enregistrées. Toutefois, à cause de cette faille, à chaque fois qu'un site crée une base de données via IndexedDB, une copie vide est créée dans tous les autres onglets, fenêtres et cadres (frames) de la même session.

Aucune mise à jour pour l’instant

Le contenu de la base de données n'est donc pas exposé, uniquement le nom. Cependant, beaucoup de sites incluent leur nom en créant leur base de données, qui est donc visible pour tous les autres sites visités par l'utilisateur. De plus, certains incluent même un identifiant d'utilisateur, comme c'est le cas avec YouTube. Cela peut donc permettre d'identifier l'internaute, ou au minimum dans le cas de Google, de récupérer l'image de profil. Et un site pourrait volontairement ouvrir un autre site dans un cadre, à l'insu de l'utilisateur, pour obtenir de telles informations.

Ce n'est pas uniquement Safari qui est affecté. La faille touche également les navigateurs tiers sur iPhone et iPad étant donné qu'Apple impose l'utilisation de WebKit. Le bug a été signalé le 28 novembre, mais Apple n'a pas encore publié de mise à jour. En attendant, il est possible d'utiliser un autre navigateur sur macOS, mais il n'existe aucune alternative sur iOS et iPadOS.

---

Découvrez TechPod, le résumé bimensuel de l'actualité de la tech et de la mobilité !

---

Abonnez-vous à la lettre d'information La quotidienne : nos dernières actualités du jour. Toutes nos lettres d’information

!

Merci pour votre inscription.
Heureux de vous compter parmi nos lecteurs !