Attention à cette faille dans Safari !

Author:

Une faille a été découverte dans WebKit, le moteur de rendu du navigateur Safari d’Apple. Celle-ci expose aux sites le nom d’autres sites visités en temps réel, et même dans certains cas des identifiants personnels.


[EN VIDÉO] Kézako : comment crypte-t-on les données sur Internet ?  La cryptographie est la plus ancienne forme de chiffrement. On trouve des traces de son utilisation jusqu’en 2.000 avant J.-C. Cette technique encore utilisée aujourd’hui, notamment sur le Web, dévoile ses mystères en vidéo grâce au programme Kézako d’Unisciel et de l’université Lille 1. 

Sur leur blog officiel, les spécialistes service de traçage du navigateur FingerprintJS ont dévoilé une faille dans le moteur de rendu WebKit, qui affecte la version 15 de Safari. Le problème se trouve au niveau de son implémentation de l’API IndexedDB et a pour conséquence de permettre aux sites Web de connaître les noms d’autres sites visités.

IndexedDB est un outil présent dans tous les navigateurs qui permet aux sites de stocker des données sur l’ordinateur de l’internaute. Lorsqu’il est utilisé correctement, chaque site n’a accès qu’aux informations qu’il a enregistrées. Toutefois, à cause de cette faille, à chaque fois qu’un site crée une base de données via IndexedDB, une copie vide est créée dans tous les autres onglets, fenêtres et cadres (frames) de la même session.

Aucune mise à jour pour l’instant

Le contenu de la base de données n’est donc pas exposé, uniquement le nom. Cependant, beaucoup de sites incluent leur nom en créant leur base de données, qui est donc visible pour tous les autres sites visités par l’utilisateur. De plus, certains incluent même un identifiant d’utilisateur, comme c’est le cas avec YouTube. Cela peut donc permettre d’identifier l’internaute, ou au minimum dans le cas de Google, de récupérer l’image de profil. Et un site pourrait volontairement ouvrir un autre site dans un cadre, à l’insu de l’utilisateur, pour obtenir de telles informations.

Ce n’est pas uniquement Safari qui est affecté. La faille touche également les navigateurs tiers sur iPhone et iPad étant donné qu’Apple impose l’utilisation de WebKit. Le bug a été signalé le 28 novembre, mais Apple n’a pas encore publié de mise à jour. En attendant, il est possible d’utiliser un autre navigateur sur macOS, mais il n’existe aucune alternative sur iOS et iPadOS.

Categories: HeadLine

Leave a Reply

Your email address will not be published. Required fields are marked *