Sur leur blog officiel, les spécialistes service de traçage du navigateur FingerprintJS ont dévoilé une faille dans le moteur de rendu WebKit, qui affecte la version 15 de Safari. Le problème se trouve au niveau de son implémentation de l'API IndexedDB et a pour conséquence de permettre aux sites Web de connaître les noms d'autres sites visités.

IndexedDB est un outil présent dans tous les navigateurs qui permet aux sites de stocker des données sur l'ordinateur de l'internaute. Lorsqu'il est utilisé correctement, chaque site n'a accès qu'aux informations qu'il a enregistrées. Toutefois, à cause de cette faille, à chaque fois qu'un site crée une base de donnéesbase de données via IndexedDB, une copie vide est créée dans tous les autres onglets, fenêtresfenêtres et cadres (frames) de la même session.

Aucune mise à jour pour l’instant

Le contenu de la base de données n'est donc pas exposé, uniquement le nom. Cependant, beaucoup de sites incluent leur nom en créant leur base de données, qui est donc visible pour tous les autres sites visités par l'utilisateur. De plus, certains incluent même un identifiant d'utilisateur, comme c'est le cas avec YouTubeYouTube. Cela peut donc permettre d'identifier l'internaute, ou au minimum dans le cas de Google, de récupérer l'image de profil. Et un site pourrait volontairement ouvrir un autre site dans un cadre, à l'insu de l'utilisateur, pour obtenir de telles informations.

Ce n'est pas uniquement Safari qui est affecté. La faille touche également les navigateurs tiers sur iPhoneiPhone et iPadiPad étant donné qu'AppleApple impose l'utilisation de WebKit. Le bugbug a été signalé le 28 novembre, mais Apple n'a pas encore publié de mise à jour. En attendant, il est possible d'utiliser un autre navigateur sur macOS, mais il n'existe aucune alternative sur iOSiOS et iPadOS.