Les développeurs d’Apple ont comblé une grave lacune dans la base de Safari WebKit. La faille permet aux sites web d’obtenir un aperçu de l’activité de navigation et, dans certaines circonstances, d’identifier clairement les utilisateurs.
Selon le changelog WebKit d’Apple, plusieurs adaptations du code ont été réalisées et le rapport de bug initial est ainsi considéré comme ‘classé’.
Sommaire
La politique d’origine commune n’est pas respectée
Pour une raison encore inconnue, Safari ignore depuis la version 15 la « Same-Origin-Policy » et donc l’un des concepts de sécurité les plus fondamentaux du Web. Au lieu de ne pouvoir lire que leurs propres contenus, scripts et bases de données, les sites web sont ainsi en mesure de consulter également les bases de données IndexedDB d’autres sites web visités pendant la session de navigation en cours. Cela permet d’obtenir rapidement un aperçu très complet du comportement de navigation.
En outre, ces bases de données peuvent contenir des identifiants de compte, comme l’identifiant d’un compte Google. Cela peut permettre aux pirates d’identifier l’utilisateur.
Une faille ouverte depuis des mois
Un chercheur en sécurité avait déjà signalé à Apple les nouvelles failles de Safari 15 en novembre dernier, mais l’entreprise n’avait apparemment pas réagi pendant longtemps. Ce n’est qu’après une critique croissante et une large couverture médiatique que le groupe a réagi. La faille semble être ouverte depuis la publication du navigateur avec iOS 15, iPadOS 15 ainsi que pour macOS – jusqu’à aujourd’hui. Le site safarileaks.com présente le problème.
Apple doit encore intégrer le correctif WebKit dans ses systèmes d’exploitation ou dans une nouvelle version de Safari et la livrer aux clients finaux. La date de cette mise à jour n’est pas encore connue. Pour iOS et iPadOS, une mise à jour du système d’exploitation est nécessaire.
Les utilisateurs de Mac peuvent se rabattre sur un autre navigateur en attendant. Mais cela n’aide pas les utilisateurs d’iOS et d’iPadOS, car tous les navigateurs doivent s’appuyer sur WebKit dans leur infrastructure – et présentent donc la même faille. La désactivation de JavaScript peut réduire quelque peu le problème, mais rend également de nombreux sites web inutilisables.