En raison d’une mauvaise implémentation d’une interface de programmation, il est possible de connaître l’identité d’un internaute et son historique de navigation.
Voilà un bug qui fait désordre dans l’univers Apple. Une faille de sécurité dans son navigateur Safari v15 permet de faire ce que l’entreprise cherche à combattre : pister les internautes à travers leurs pérégrinations sur la Toile. Et c’est terriblement efficace. Les chercheurs en sécurité de FingerprintJS, qui ont détecté ce problème, ont mis en ligne une page web de démonstration (safarileaks.com). Après avoir visité quelques sites, l’outil a non seulement détecté certains sites sur lesquels je me suis rendu, mais aussi récupéré l’identifiant unique de mon compte Google. C’est idéal pour marquer quelqu’un à la culotte. Cette faille est exploitable sur macOS, iOS et iPadOS.
Comment est-ce possible ? Le mal se situe dans l’interface de programmation d’IndexedDB, une base de données que beaucoup de sites web utilisent pour stocker des données en local dans le navigateur. En théorie, la base de données créée par un domaine n’est pas accessible par un autre domaine, en accord avec le principe « Same-Origin Policy ». Malheureusement, quand Safari rencontre une telle base de données, il va créer des copies vides dans chaque onglet ouvert. Les sites web de ces onglets pourront donc lire le nom de cette base de données, ce qui est suffisant pour connaître le site web d’origine. Si l’internaute se connecte à un service Google, c’est encore pire, car les noms de leurs bases IndexedDB contiennent l’identifiant unique du compte.
