Si vous utilisez Safari 15 sur iOS, iPadOS ou macOS, faites attention. Vous êtes peut-être concernés par ce bug du navigateur d’Apple détecté par le site FingerprintJS, spécialiste dans la recherche d’empreintes sur le web pour détecter des tentatives malveillantes. Celui-ci parvient à permettre à différents sites d’accéder éventuellement à votre historique de navigation.
Il s’agit, selon 9to5Mac qui a repéré l’information, d’un bug dans l’implémentation d’IndexedDB dans Safari pour Mac et iPhone/iPad. Il permet alors à un site web de consulter les noms des bases de données pour n’importe quel domaine et pas seulement le sien. Utilisé à mauvais escient, ce bug peut alors servir à extraire des informations d’identification dans une table de consultation.
4 mois d’abonnements offerts, un bloqueur de pub intégré et des serveurs parmi les plus rapides du marché : c’est Noël chez Surfshark ! L’abonnement à ce VPN est à seulement 1,99 € /mois !
Différents sites peuvent ainsi avoir connaissance de l’activité de votre navigation récente (ou en cours). Dans le billet de blog, FingerprintJS estime que la table de recherche ne conserve qu’une trentaine de noms de domaines, mais rien ne paraît pouvoir l’empêcher d’appliquer la technique à un ensemble plus important de sites web utilisant l’API JavaScript IndexedDB et d’en récupérer les données.
Un bug qui donne accès à vos identifiants Google
Mais le problème le plus délicat est tout autre : par ce bug, les services Google disposent eux aussi d’une instance IndexedDB pour chacun de vos comptes connectés et donc, avec un lien vers votre identifiant Google. Un site malveillant pourrait alors tenter de récupérer vos identifiants utilisateur pour l’appliquer à d’autres services et aller alors récupérer davantage de données vous concernant.
Si vous êtes connecté à votre compte Google pour différents services utilisés sur Safari, vos identifiants et photos de profil peuvent éventuellement être accessibles.
Un site a été mis au point pour que vous puissiez tester par vous-même si votre navigateur Safari est touché et connaître les informations qui ont fuité. Il fonctionne sur Safari 15 sur macOS, ainsi que sur n’importe quel navigateur sur iPhone ou iPad.
Averti fin novembre de ce bug sur Safari par FingerprintJS, Apple ne semble pas y avoir encore apporté de solution.
It's not a bug, it's a feature :D
Marrant de présenter ça comme un bug...
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix