Safari : la fonction anti-tracking d'Apple aurait permis une fuite de données... depuis 2017 ?

Si les produits-logiciels Apple ont une réputation sécuritaire - le prix allant - qui s'est forgée dans le temps, l'époque (in)sécuritaire actuelle alignera en toute modestie les ardeurs de la pomme verte au même niveau que ses concurrents : potentiellement depuis 2017, le navigateur d'Apple, Safari, aurait permis une fuite de données par l'entremise de l'ITP (Intelligent Tracking Prevention), un outil similaire à la fonction no-tracking, par exemple, sous Firefox !

 

C'est ce qu'aurait révélé les contrôles de routine de l'équipe technique de Google (Information Security Engineering) qui en a détaillé le contenu au sein d'un rapport sécuritaire publié depuis le 22 Janvier dernier. L'exploit aurait pu permettre de multiples applications :

 

  • Affichage des domaines depuis la liste ITP  dédiée dans le but d'analyser la navigation-user et, en retour, de l'exploiter à des fins commerciales frauduleuses ;
  • Identification au cas par cas des sites visités ;
  • Pointage chronique d'une "empreinte" (profil) dans le but de détourner l'outil anti-tracking en ajoutant un tracking malveillant  (pinning domains) ;
  • Forcer l'intégration d'un domaine au sein de la liste ITP ;
  • Attaque de type cross-site search (XS Search) : aspiration de donnée(s) depuis une page de recherche tronquée.

Si un des membres de l'équipe sécuritaire assurerait que la faille ne serait toujours pas colmatée depuis Mercredi dernier, Apple a communiqué sur une rustine liée à l'ITP depuis le 10 Décembre 2019 tout en remerciant Google qui l'en avait informé depuis Août 2019... A veiller !

Source : Google - Safari : rapport sur les 5 vulnérabilités au sein de l'ITP.