Des chercheurs de Google ont repéré des failles dans le système anti-traçage de Safari. Conçu pour éviter le pistage des utilisateurs, l’outil comportait des vulnérabilités permettant de suivre l’activité en ligne d’un internaute.
Semaine mouvementée pour Apple. Le géant américain, qui se pose en champion de la protection de la vie privée, est attaqué sur plusieurs fronts. L’agence Reuters a révélé que la firme américaine aurait renoncé à chiffrer entièrement les sauvegardes iCloud sous la pression du FBI, alors même que Tim Cook s’est plusieurs fois opposé publiquement aux méthodes de l’agence gouvernementale. C’est désormais son navigateur Safari qui est au cœur de l’actualité après la découverte de failles dans ses outils anti-traçage.
Apple mise sur la confidentialité des données et propose une fonction de prévention intelligente du traçage (Intelligent Tracking Prevention) au sein de Safari. Présent dans les versions macOS, iPad OS et iOS du navigateur, cet outil permet de réduire l’exploitation des cookies par les annonceurs, évitant à ses utilisateurs d’être pistés. « Safari utilise une technologie d’apprentissage automatique pour identifier les publicitaires et tous ceux qui suivent à la trace votre comportement en ligne, et supprimer les données de traçage d’un site à l’autre », explique la marque à la pomme sur son site. Un atout pour les internautes, à condition que cette fonctionnalité ne comporte pas de faille de sécurité.
Le Financial Times rapporte que des chercheurs de Google ont découvert l’existence de plusieurs failles dans l’Intelligent Tracking Prevention de Safari. Ces derniers ont répertorié pas moins de cinq types d’attaques potentielles pouvant cibler les utilisateurs du navigateur d’Apple. Comble de l’ironie, ces failles pouvaient révéler « des informations privées sensibles sur les habitudes de navigation de l’utilisateur » ou permettre de suivre l’activité d’un internaute en créant une empreinte.
Apple n’oublie pas de remercier Google pour son aide
Google a contacté Apple en août dernier pour l’informer de l’existence de ces vulnérabilités. La société basée à Cupertino a pu les corriger en décembre, sans livrer plus de détails. John Wilander, ingénieur chez Apple et responsable de l’ITP de Safari, est revenu sur cet épisode dans un billet publié le 10 décembre 2019. Il en profite pour remercier les chercheurs de Google : « Nous remercions Google de nous avoir envoyé un rapport dans lequel ils explorent à la fois la possibilité de détecter quand un contenu web est traité différemment en suivant la prévention et les mauvaises choses qui sont possibles avec une telle détection. Leur pratique de divulgation responsable nous a permis de concevoir et de tester les changements détaillés ci-dessus ».
Google indique pour sa part se réjouir « de collaborer avec Apple sur les futures améliorations liées à la sécurité et la confidentialité sur le web ». Le géant de l’Internet a l’habitude de trouver des failles dans les produits de ses concurrents, notamment via son équipe d’experts du Project Zero. Les méthodes de cette dernière ont valu quelques critiques de la part de Microsoft ces dernières années.