Ironie du sort ? Alors que nous mentionnions une nouvelle suite de sécurité éditée par McAfee pour le système d'exploitation Mac OS X, une faille a été découverte au sein du navigateur Safari. Certains sites malicieux seraient en effet capables d'obtenir les informations personnelles d'un utilisateur même si ces derniers ne les ont jamais entré au sein du navigateur.
Découverte par Jeremiah Grossman, fondateur de WhiteHat Security, la brèche toucherait les versions 4 et 5 de Safari, soit 4% du marché ou 83 millions d'internautes. Ces deux moutures présentent en effet une option activée par défault baptisée « utiliser les informations de mon carnet d'adresses ». Cette fonctionnalité permet de piocher des informations dans le carnet d'adresses pour des champs présentant certains attributs du type : input type="text" name="name", input type="text" name="city" ou input type="text" name="country".
Ces champs étant capables de puiser les données directement dans l'application sur Mac OS X, cette fonctionnalité se différencie donc du mode de remplissage automatique généré lorsque l'internaute a précédemment remplis ces informations au travers du navigateur. M.Grossman explique qu'une personne malintentionnée n'aurait qu'à ajouter un JavaScript à ces formulaires pour générer l'entrée immédiate d'informations personnelles. L'expert à mis en place un site Internet afin de démontrer la manière dont l'attaque fonctionne. Il précise que les données commençant par un chiffre ne sont cependant pas extraites automatiquement du carnet d'adresses.
« Ce type d'attaques pourrait se généraliser à plusieurs niveaux aussi bien pour le spam, le phishing ou le chantage si une personne se rendant sur un site perd d'emblée son anonymat », explique l'expert. Il ajoute : « ces attaques pourraient très bien se déployer à grande échelle sur les réseaux publicitaires où personne n'y prêterait attention (...) En fait on ne peut pas être certains que cela ne soit pas déjà le cas ». Jeremiah Grossman a prévenu Apple le 17 juin dernier mais la firme de Cupertino n'a toujours pas retourné de réponse.
La faille en question semble bien liée à Safari sur Mac OS X. Cette dernière ne peut être reproduite sur Chrome en version 5.0 ou Firefox 4 bêta 1. Pour plus de sécurité il est conseillé de désactiver l'option mentionnée ci-dessus dans les options du navigateur.