Safari : un bug permet de pister votre navigation en temps réel sur iPhone et Mac

Utilisateurs de Safari sur Mac et iPhone, attention : à cause d’un bug, l’API JavaScript IndexedDB peut révéler votre historique de navigation et même votre identité, selon un article de blog partagé vendredi par le service d’empreintes digitales pour navigateurs, FingerprintJS.

Malware sur Mac
Un nouveau bug découvert sur Safari © DR

Un nouveau bug trouvé sur le navigateur Safari inquiète. En quelques mots, il permet à n’importe quel site Web qui utilise IndexedDB (une base de données locale embarquée dans le navigateur) de connaître tous les sites qu’un utilisateur a visités ou visite en temps réel. Normalement, les sites Web ne devraient pouvoir accéder qu’à leurs propres bases de données IndexedDB, mais le bug fait que certains sites peuvent avoir accès à toutes les bases de données d’un utilisateur.

À lire : Antivirus gratuit : quel est le meilleur pour protéger son PC ?

Un bug qui touche tous les appareils Apple sur macOS Monterey, iOS 15 et iPadOS 15

Dans certains cas, les sites Web utilisent des identifiants uniques, spécifiques à chaque utilisateur, répartis au sein d’une base de données IndexedDB. Par exemple, YouTube crée des bases de données qui incluent l’identifiant Google de l’utilisateur. Cet identifiant peut ensuite être utilisé avec les API Google pour récupérer des informations personnelles sur l’utilisateur, comme sa photo de profil, selon FingerprintJS. Le problème, c’est que ces informations personnelles n’ont pas à se retrouver entre les mains de personnes malveillantes.

« Un onglet ou une fenêtre qui s’exécute en arrière-plan et interroge en permanence l’API IndexedDB pour les bases de données disponibles peut savoir quels autres sites Web un utilisateur visite en temps réel », indique le blog. « Alternativement, les sites Web peuvent ouvrir n’importe quel site Web dans une iframe ou une fenêtre contextuelle afin de déclencher une fuite basée sur IndexedDB pour ce site spécifique » peut-on lire. Voici une vidéo explicative.

Selon FingerprintJS, le bug affecte Safari 15 pour Mac et Safari sur toutes les versions d’iOS 15 et iPadOS 15, mais aussi les navigateurs tiers comme Google Chrome sur iOS 15 et iPadOS 15, comme Apple exige que tous les navigateurs utilisent WebKit sur l’iPhone et l’iPad. Le site spécialisé indique que les anciens navigateurs comme Safari 14 pour Mac ne sont pas affectés et que passer en navigation privée ne permet pas de contourner le bug.

Mais alors, comment contourner ce problème ? Sur Mac, vous pouvez temporairement utiliser un autre navigateur, comme Opéra (voir : Quels sont les meilleurs navigateurs Internet en 2021 ?). Ce n’est en revanche pas possible sur l’iPhone ou l’iPad, car tous les navigateurs disponibles sur ces appareils sont affectés. Il faudra donc prendre notre mal en patience, en attendant qu’Apple règle le souci.

À lire : iOS 15 : comment revenir à l’ancien design de Safari ?

Source : FingerprintJS