in

Vulnérabilité grave dans le navigateur Safari : Vous devez savoir que

Un bogue dans Safari permet actuellement aux sites Web de lire les activités en ligne des utilisateurs.

Une grave faille de sécurité a été découverte dans le navigateur Safari d’Apple. Un bogue logiciel permet aux sites Web de lire les activités en ligne des utilisateurs et même de révéler leur identité. Les utilisateurs de Safari doivent actuellement utiliser un autre navigateur.

La vulnérabilité de Safari 15, la version actuelle du navigateur Apple, a été découverte par la société de sécurité FingerprintJS et signalée à Apple le 28 novembre 2021. Le grave bug du navigateur n’a pas encore été corrigé, rapporte le site The Hacker News. Une faille dans la mise en œuvre de l’API IndexedDB signifie que les activités en ligne des utilisateurs peuvent être lues et même leur identité peut être révélée. Cela peut en faire des cibles faciles pour les escroqueries et les attaques de phishing.

Petite digression : IndexedDB et Same-Origin-Policy

L’IndexedDB est une API fournie par les navigateurs Web pour gérer une base de données NoSQL avec des objets de données structurés. Comme la plupart des autres solutions de stockage sur le Web, IndexedDB suit la politique de même origine. Cela indique que vous avez accès aux données stockées dans un domaine. Cependant, l’accès n’est généralement pas possible dans différents domaines.

La politique de même origine est un mécanisme de sécurité fondamental qui garantit que les ressources accessibles depuis différentes origines sont isolées les unes des autres. L’isolement des ressources vise à rendre plus difficile l’accès des scripts malveillants aux données d’autres domaines.

Safari enfreint la politique de même origine

Le problème actuel avec Safari est que l’API IndexedDB viole la politique de même origine. Un bogue garantit qu’à chaque fois qu’un site Web interagit avec une base de données, une nouvelle base de données (vide) portant le même nom est créée dans tous les autres cadres, onglets et fenêtres actifs au sein de la même session de navigateur, explique Martin Bajanik de FingerprintJS. Cette erreur permet aux sites Web de lire les autres sites Web visités par un utilisateur de Safari.

Autre gros problème : si l’utilisateur visite le site Web d’un service Google tel que YouTube, l’identifiant d’utilisateur Google authentifié, qui peut être utilisé pour identifier de manière unique un compte Google, est également stocké dans la base de données créée.

Le bogue permet aux sites Web et aux scripts malveillants de créer le profil de navigation d’un utilisateur, de révéler l’identité d’un utilisateur et peut-être même de lier plusieurs comptes utilisés par l’utilisateur. Cela fait des utilisateurs espionnés des cibles faciles pour les e-mails de phishing et d’escroquerie.

Vous pouvez le faire contre la faille de sécurité

Malheureusement, la fuite de données dans Safari ne peut pas être contournée en utilisant le mode de navigation privé. Nous vous recommandons actuellement de vous abstenir d’utiliser Safari sur macOS et iOS ou iPadOS jusqu’à ce qu’Apple comble la faille de sécurité dans son propre navigateur.

45secondes est un nouveau média, n’hésitez pas à partager notre article sur les réseaux sociaux afin de nous donner un solide coup de pouce. 🙂