Récemment, nous avons entendu parler d’un grave bug de Safari qui pourrait permettre aux sites Web de suivre votre historique de navigation et votre Google ID sur iOS 15 et iPadOS 15. Maintenant, AppleInsider rapporte qu’Apple travaille actuellement à résoudre le bug dès que possible.
Il y a quelques jours, le bug a été découvert par les chercheurs, un problème qui affectait la manière dont Apple avait implémenté l’API IndexedDB dans Safari 15. En gros, ce bug permet à n’importe quel site Web de suivre l’activité Internet du navigateur, ce qui pourrait à sa manière déterminer l’identité d’un utilisateur.
Ce bug assez sérieux, heureusement, est sur le point d’être résolu par Apple, puisque la firme à la pomme croquée prépare actuellement un correctif, selon un commit WebKit sur GitHub. Jusqu’à présent, le correctif n’a pas encore été déployé, et il sera disponible lorsque la mise à jour sera disponible pour iOS 15, iPadOS 15, et macOS Monterey. Au moins, nous savons maintenant que le bug a été reconnu et qu’une mise à jour pourrait arriver bientôt.
Quel est ce bug Safari exactement ? Ce bug affecte iOS 15, iPadOS 15 et macOS Monterey, c’est-à-dire essentiellement les systèmes d’exploitation qui disposent de Safari 15. Le bug a été découvert dans une API utilisée et prise en charge par la plupart des navigateurs, et il pourrait être utilisé par des hackers pour découvrir de nombreuses choses sur l’utilisateur qui navigue. L’API problématique s’appelle IndexedDB, et elle contient une quantité importante de données.
En principe, l’API doit permettre à un site d’accéder aux données qu’il a uniquement générées, et non aux données d’autres sites Web. Cependant, le bug de Safari 15 viole une politique qui garantirait le bon fonctionnement de l’API. Les chercheurs qui l’ont découvert affirment que lorsqu’un site Web interagit avec la base de données de l’API, une nouvelle base de données vide portant le même nom est créée dans tous les autres cadres, onglets et fenêtres actifs au sein de la même session de navigation.
Un accès à votre identifiant Google
En fait, ce bug permet aux sites Web d’accéder à votre identifiant Google. Il peut présenter à un hacker un grand nombre d’informations personnelles vous concernant. Cela peut être utilisé pour identifier un compte Google spécifique, révéler votre photo de profil au hacker. En outre, cela pourrait permettre à ce dernier de démêler plusieurs comptes distincts appartenant au même utilisateur.
Malheureusement, ce bug permet à un potentiel hacker d’avoir accès à ces informations sans que vous fassiez quoi que ce soit de particulier (pas besoin de cliquer sur des liens bizarres ou de télécharger des photos qui font cliquer).
Existe-t-il un moyen de se protéger ? Malheureusement, les utilisateurs de Safari ne peuvent pas faire grand-chose à ce sujet, à part attendre que le bug soit corrigé par Apple et mettre à jour leurs appareils dès que la mise à jour est publiée. Il est possible de bloquer JavaScript par défaut et de l’activer uniquement sur les sites Web de confiance, mais cela pourrait nuire à l’expérience de navigation. Malheureusement, on ne sait pas quand Apple va terminer la correction du bug et quand la mise à jour sera déployée.