Apple a dépêché ses ingénieurs pour corriger un problème technique dans un composant clé des navigateurs web. Le développement du patch est terminé, il ne reste qu’à déployer la mise à jour.

Il faut croire que la médiatisation soutenue d’un bug dans certains navigateurs web utilisés sur macOS, iOS et iPadOS a fait son petit effet chez Apple. Peu de temps après avoir divulgué le problème, l’informaticien qui a constaté une défaillance dans plusieurs navigateurs a fait savoir que l’entreprise américaine a mis des ingénieurs sur le coup pour le corriger.

« Mise à jour sur la fuite IndexedDB : les ingénieurs d’Apple ont commencé à travailler sur le bug à partir de dimanche, ont fusionné les corrections potentielles et ont marqué notre rapport comme étant résolu. Cependant, le bug continue de persister jusqu’à ce que les changements soient publiés », indique FingerprintJS sur Twitter le 17 janvier 2022.

safari-15-vulnerability
Un visuel décrivant un peu le principe de la fuite avec l’API IndexedDB. // Source : FingerprintJS

Un problème affectant plusieurs navigateurs web

FingerprintJS est le nom du site sur lequel a été rendue publique l’existence du bug. Dans les grandes lignes, le problème se situe dans le moteur de rendu WebKit. Il s’agit d’un composant central dans les navigateurs, car il sert à interpréter le code HTML pour afficher les pages. WebKit est développé par Apple. Il en existe d’autres, pour Firefox ou Chrome par exemple.

Le dysfonctionnement affectant WebKit, ce sont les navigateurs qui reposent dessus qui sont exposés à un problème de fuite de données impliquant une API spéciale, appelée IndexedDB. Il y a notamment Safari sur macOS, mais aussi les navigateurs web sur iOS et iPadOS, dans la mesure où Apple exige qu’ils utilisent WebKit sur ses plateformes mobiles.

L’implémentation de l’API IndexedDB dans WebKit est la cause de l’incident. Dans certaines circonstances, le problème peut exposer l’historique d’un internaute durant sa session de navigation. L’indication des sites vus ainsi que de certains éléments stockés dans IndexedDB font qu’il peut être possible de remonter la trace d’un internaute et de parvenir à le « dé-anonymiser ».

Le suivi du code de WebKit peut être vu sur GitHub, une plateforme spécialisée dans le développement logiciel. Il reste maintenant à propager la mise à jour du moteur de rendu dans les navigateurs web et qu’ensuite les internautes obtiennent la version corrigée du navigateur qu’ils utilisent pour aller sur le net, pour que le risque de fuite se dissipe.

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !