Un exploit dans Safari permet l'accès aux infos de compte Google et à l'historique de navigation

Par Nathan Le Gohlisse, Spécialiste Hardware.

Publié le 17 janvier 2022 à 15h21

Une importante faille de sécurité découverte dans Safari, le navigateur d'Apple, peut permettre à des tiers de consulter votre historique de navigation récent. Elle permet aussi d'offrir un accès à certaines informations relatives à votre compte Google.

Que ce soit sur votre Mac, votre iPhone ou votre iPad, Safari est vulnérable à une faille de sécurité préoccupante. Non corrigée par Apple à cette heure, elle résulte d'un bug découvert dans l'implémentation de l'API Indexed Database (IndexedDB) sur Safari. Ce bug permet à un site web de voir les noms des bases de données de n'importe quel domaine, et pas seulement le sien, résume 9to5Mac, qui précise que ces noms peuvent alors être utilisés pour extraire des informations plus ou moins sensibles.

Safari en difficulté…

Les informations extraites peuvent en effet renseigner des tiers sur une partie de votre historique de navigation récent et peuvent également compromettre, dans une certaine mesure, votre compte Google. Les services de Google stockent en effet une instance IndexedDB pour chacun de vos comptes connectés. En exploitant cette faille, un site malveillant peut ainsi récupérer votre identifiant Google et l'utiliser pour obtenir d'autres informations personnelles vous concernant.

Dans une démo partagée sur le blog de FingerprintJS, les chercheurs en sécurité à l'origine de la découverte démontrent qu'il est possible d'exploiter l'identifiant Google obtenu grâce à cette faille pour désanonymiser l'utilisateur cible, en mettant par exemple la main sur sa photo de profil. Une simple instance IndexedDB ne devrait normalement pas le permettre.

Toutes les versions du navigateur sont concernées

Pour les besoins de leur démonstration, les chercheurs ont testé la faille avec une trentaine de noms de domaines différents, mais il est vraisemblable que ce bug peut en compromettre bien d'autres. 9to5Mac souligne que n'importe quel site utilisant l'API IndexedDB est potentiellement vulnérable à ce type de récupération de données si l'utilisateur passe par Safari, quelle que soit la version du navigateur ou l'appareil utilisé.

Cette faille a été signalée à Apple le 28 novembre dernier par les chercheurs de FingerprintJS, mais n'a pas encore fait l'objet d'un correctif. La solution, sur le papier, paraît pourtant simple : il suffirait qu'à l'instar de Google Chrome (entre autres), Safari ne permette aux site web de ne voir que les bases de données créées par leur propre nom de domaine.

Source : 9to5Mac

Par Nathan Le Gohlisse

Spécialiste Hardware

Passionné de nouvelles technos, d'Histoire et de vieux Rock depuis tout jeune, je suis un PCiste ayant sombré corps et biens dans les délices de macOS. J'aime causer Tech et informatique sur le web, ici et ailleurs. N’hésitez pas à me retrouver sur Twitter !

Articles de Nathan Le Gohlisse

Navigateur web

Apple

Internet & communication

Actualités High-Tech

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !

Commentaires (0)

Rejoignez la communauté Clubic

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

Commentaires (8)

Fatima

Titre, « un exploit »?

kast_or

tfpsly

Pb sur iPhone ou iPad :

tous les browsers utilisent le moteur de Safari, donc tous les browsers sont touchés.
Safari fait partie des màj de l’OS; impossible de juste mettre à jour cette app, il faut une mise à jour de l’OS.

kast_or

Ok, au temps pour moi

Francis7

Je croyais que c’était une pratique courante sur internet.

HAL1

Exact. Le fait qu’Apple impose le moteur de rendu sur iOS et iPadOS fait qu’en cas de problème avec celui-ci, que ça soit une faille de sécurité ou un bug, il faut attendre que la Pomme veuille bien le corriger. Et si elle ne le fait pas (sur le versions plus anciennes du système, par exemple), eh bien l’utilisateur n’a aucune alternative.
Et pourtant, c’est quelque chose dont les médias ne parlent quasiment jamais, même ceux portés sur la technologie. Ils encensent généralement Apple, en se gardant bien de pointer ce genre de risques.

alsaco67

Je suis utilisateur Mac depuis 12 ans et de Windows depuis Windows 3.1 si je me souviens bien.

J’ai vu les évolutions des deux OS et bien que je sois équipé Apple totalement, j’ai plaisir à utiliser Windows 11 qui a beaucoup plus progresser que MacOS et notamment, un comble il y a quelques années, en terme d’ergonomie.

Il y a aussi chez les clients Apple des personnes objectives qui pointent ce qui ne va pas mais qui, il est vrai, ne fait pas les gros titres dans les médias comme pour les autres sociétés de la Tech. Il y a sans doute une raison que je ne connais pas expliquant cet dévotion à la marque, dévotion que je trouve risible. Comme si une marque s’intéressait à autre chose qu’à son chiffre d’affaires et donc à l’argent de ses clients … Sur Pluton, peut-être, sur Terre, non

Yoh13

J’aime les produits de cette marque , j’en possède plusieurs.
Mais je suis le premier que l’innovation commence a tarder sur pas mal d’os de la marque.
J’espère qu’ils corrigeront ca vite.