Safari : un bug divulgue l'historique et l'identifiant Google des utilisateurs
Par June Cantillon - Mis à jour le
Un bug au sein d'une API utilisée par Safari 15 sur Mac, iPhone et iPad pourrait révéler l'historique et certaines informations d'un utilisateur.
La firme FingerprintJS a mis en évidence une vulnérabilité au sein de Safari 15, que ce soit sur macOS, iOS et iPadOS (ou l'ensemble des navigateurs sur les systèmes mobiles de Cupertino qui s'appuient forcément sur le moteur d'Apple). Ainsi, l'API IndexedDB mise en œuvre par Apple au sein de son navigateur et permettant de stocker des données laisse les sites ouverts dans des onglets et fenêtres supplémentaires consulter une base de données qui ne devrait pas leur être accessible, permettant d'en déduire un historique de navigation récent, ou encore l'identifiant utilisateur unique généré par Google pour chaque utilisateur.
FingerprintJS permet de mettre en évidence cette vulnérabilité avec une démonstration accessible à cette adresse. Cette démonstration affichera les sites récemment consultés (au sein d'une liste limitée à quelques sites populaires, mais le bug affecte un bien plus grand nombre de pages) ainsi que votre identifiant utilisateur Google. Il sera possible de se mettre à l'abri sur Mac en utilisant un navigateur tiers, mais il faudra attendre un correctif de la part d'Apple sur iOS et iPadOS. Cupertino, pourtant prompte à se vanter du respect de la confidentialité des données de ses utilisateurs, ne semble pas particulièrement pressée puisque le bug a été signalé le 28 novembre par FingerprintJS et qu'aucun correctif n'a été déployé à ce jour.
La firme FingerprintJS a mis en évidence une vulnérabilité au sein de Safari 15, que ce soit sur macOS, iOS et iPadOS (ou l'ensemble des navigateurs sur les systèmes mobiles de Cupertino qui s'appuient forcément sur le moteur d'Apple). Ainsi, l'API IndexedDB mise en œuvre par Apple au sein de son navigateur et permettant de stocker des données laisse les sites ouverts dans des onglets et fenêtres supplémentaires consulter une base de données qui ne devrait pas leur être accessible, permettant d'en déduire un historique de navigation récent, ou encore l'identifiant utilisateur unique généré par Google pour chaque utilisateur.
FingerprintJS permet de mettre en évidence cette vulnérabilité avec une démonstration accessible à cette adresse. Cette démonstration affichera les sites récemment consultés (au sein d'une liste limitée à quelques sites populaires, mais le bug affecte un bien plus grand nombre de pages) ainsi que votre identifiant utilisateur Google. Il sera possible de se mettre à l'abri sur Mac en utilisant un navigateur tiers, mais il faudra attendre un correctif de la part d'Apple sur iOS et iPadOS. Cupertino, pourtant prompte à se vanter du respect de la confidentialité des données de ses utilisateurs, ne semble pas particulièrement pressée puisque le bug a été signalé le 28 novembre par FingerprintJS et qu'aucun correctif n'a été déployé à ce jour.
