© Nathan Le Gohlisse pour Clubic
© Nathan Le Gohlisse pour Clubic

Une importante faille de sécurité découverte dans Safari, le navigateur d'Apple, peut permettre à des tiers de consulter votre historique de navigation récent. Elle permet aussi d'offrir un accès à certaines informations relatives à votre compte Google.

Que ce soit sur votre Mac, votre iPhone ou votre iPad, Safari est vulnérable à une faille de sécurité préoccupante. Non corrigée par Apple à cette heure, elle résulte d'un bug découvert dans l'implémentation de l'API Indexed Database (IndexedDB) sur Safari. Ce bug permet à un site web de voir les noms des bases de données de n'importe quel domaine, et pas seulement le sien, résume 9to5Mac, qui précise que ces noms peuvent alors être utilisés pour extraire des informations plus ou moins sensibles.

Safari en difficulté…

Les informations extraites peuvent en effet renseigner des tiers sur une partie de votre historique de navigation récent et peuvent également compromettre, dans une certaine mesure, votre compte Google. Les services de Google stockent en effet une instance IndexedDB pour chacun de vos comptes connectés. En exploitant cette faille, un site malveillant peut ainsi récupérer votre identifiant Google et l'utiliser pour obtenir d'autres informations personnelles vous concernant.

Dans une démo partagée sur le blog de FingerprintJS, les chercheurs en sécurité à l'origine de la découverte démontrent qu'il est possible d'exploiter l'identifiant Google obtenu grâce à cette faille pour désanonymiser l'utilisateur cible, en mettant par exemple la main sur sa photo de profil. Une simple instance IndexedDB ne devrait normalement pas le permettre.

Toutes les versions du navigateur sont concernées

Pour les besoins de leur démonstration, les chercheurs ont testé la faille avec une trentaine de noms de domaines différents, mais il est vraisemblable que ce bug peut en compromettre bien d'autres. 9to5Mac souligne que n'importe quel site utilisant l'API IndexedDB est potentiellement vulnérable à ce type de récupération de données si l'utilisateur passe par Safari, quelle que soit la version du navigateur ou l'appareil utilisé.

Cette faille a été signalée à Apple le 28 novembre dernier par les chercheurs de FingerprintJS, mais n'a pas encore fait l'objet d'un correctif. La solution, sur le papier, paraît pourtant simple : il suffirait qu'à l'instar de Google Chrome (entre autres), Safari ne permette aux site web de ne voir que les bases de données créées par leur propre nom de domaine.

Source : 9to5Mac