Un bug dans Safari permet de s'emparer de l'historique de navigation des utilisateurs. Dès lors, un site web malveillant peut, dans certains cas, connaître votre historique ainsi que vos identifiants Google.
Les utilisateurs de Safari 15 sur iOS, iPadOS et macOS devraient redoubler de prudence ces prochains jours. Le site FingerprintJS, spécialisé dans la sécurité informatique, a révélé l’existence d’un bug dans la dernière version du navigateur de la marque à la pomme.
Identifiants menacés
La faille en question est en fait un problème dans l’implémentation d’IndexedDB dans Safari. Cette base de données est utilisée par des sites web afin de stocker des données dans l’ordinateur d’un utilisateur.
Pour faire simple, ce bug permet aux moins scrupuleux d’apprendre « quels sites Web l'utilisateur visite dans différents onglets ou fenêtres. », indique FingerprintJS dans son analyse. Et donc de s’emparer de données de l’internaute.
Mais pas que. Dans certains cas, cette faille peut mener tout droit vers vos identifiants Google et/ou votre photo de profil. Les utilisateurs authentifiés peuvent être identifiés de manière précise, sur des sites web utilisant des identifiants uniques et spécifiques à l’utilisateurs tel que YouTube, Google Calendar ou Google Keep. « Tous ces sites web créent des bases de données qui incluent l'identifiant d'utilisateur Google authentifié », prévient FingerprintJS. La faille peut aussi relier plusieurs comptes distincts utilisés par un seul et même utilisateur. En théorie, un site malveillant peut alors subtiliser d’autant plus de données.
Et après ?
Pour l’heure, Apple travaille à un correctif. Un site a été mis en ligne par FingerprintJS afin de déterminer si oui ou non, votre navigateur est touché et si certaines de vos données personnelles ont fuité.