Passer au contenu

Apple : un bug sur Safari permet aux sites de vous pister en temps réel

Les appareils Apple dans leur dernière version logicielle peuvent avoir leur navigation pistée par certains sites suite à un bug.

La vie privée et la collecte de données sont des sujets sensibles, et la plupart des utilisateurs du web ne voudraient pas qu’on les surveille, encore moins en temps réel. Pourtant, c’est peut-être déjà votre cas si vous possédez un appareil Apple. En effet, selon FingerprintJS, les utilisateurs de produits sous macOS Monterey, iOS 15 ou iPad 15 sont sujets à un bug qui rend leur navigation visible par certains sites.

Ceci est dû à une faille dans IndexedDB, une base de données embarquée dans le navigateur Safari. Celle-ci est normalement utilisée par certains sites internet pour récolter des données à partir d’un même identifiant afin de vous proposer une navigation personnalisée. Par exemple, lorsque vous vous connectez à un site avec votre identifiant Google, alors le site récupère dans la base de données correspondante votre nom d’utilisateur et votre photo de profil.

Une traque en temps réel

Toutefois, les sites ne sont pas censés accéder aux bases de données des autres sites, afin de protéger le plus possible vos données personnelles. Il semble pourtant que ce soit le cas dans la dernière version de Safari.

« Chaque fois qu’un site Web interagit avec une base de données, une nouvelle base de données (vide) portant le même nom est créée. Les fenêtres et les onglets partagent généralement la même session, sauf si vous passez à un profil différent ou si vous ouvrez une fenêtre privée. Par souci de clarté, nous appellerons les bases de données nouvellement créées “bases de données à double origine croisée” dans la suite de l’article.

Le fait que les noms des bases de données fuitent entre différentes origines constitue une violation évidente de la vie privée. Il permet à des sites Web arbitraires de savoir quels sites l’utilisateur visite dans différents onglets ou fenêtres. De plus, nous avons observé que dans certains cas, les sites web utilisent des identifiants uniques propres à l’utilisateur dans les noms de base de données. Cela signifie que les utilisateurs authentifiés peuvent être identifiés de manière unique et précise. »

En d’autres termes, les sites utilisant cette même base de données peuvent donc savoir quels sites vous avez visités, ou que vous visitez en ce moment même. Le tout permet donc de pister votre navigation en temps réel, une violation très claire de la vie privée des utilisateurs. Mais alors, que faire pour se protéger contre ce bug, le temps qu’il soit résolu ?

Comment se protéger en attendant la mise à jour de Safari ?

L’auteur de l’article précise qu’il y a peu de choses que vous pouvez faire. Dans certains cas, ce bug est aussi présent même en navigation privée sur Safari. Toutefois, il existe quelques options barrières, aussi utiles qu’agaçantes. L’une d’entre elles consiste à bloquer tout JavaScript par défaut et à ne l’autoriser que sur les sites de confiance.

L’autre option, malheureusement valable uniquement sur Mac, est de changer de navigateur. Sur iPhone, cela serait un échec puisque tous les navigateurs sont concernés par le bug. Pensez donc bien à vérifier les disponibilités de mises à jour pour régler ce problème définitivement.

🟣 Pour ne manquer aucune news sur le Journal du Geek, abonnez-vous sur Google Actualités. Et si vous nous adorez, on a une newsletter tous les matins.

Mode