Apple, qui se présente volontiers comme le champion de la confidentialité, essuie depuis quelques jours une attaque en piqué sur plusieurs fronts. Il y a tout d'abord ces requêtes insistantes — et sans doute pas dénuées d'arrière-pensées — de l'administration Trump pour forer une porte dérobée dans l'iPhone. Il y a également cette histoire d'abandon du chiffrement intégral des sauvegardes iCloud.
On n'est que mercredi, et voici un nouveau souci pour Apple. Des chercheurs de Google ont mis au jour des failles de sécurité dans le système de prévention intelligente du traçage (Intelligent Tracking Prevention, ITP) de Safari. Ironie de l'histoire, ces vulnérabilités ont pu permettre aux malandrins de suivre à la trace les utilisateurs du navigateur, alors que cet ensemble de fonctionnalités est justement censé mettre des bâtons dans les roues des pisteurs professionnels.
Google a prévenu Apple en août dernier, et en décembre la Pomme annonçait avoir corrigé les failles de sécurité, sans entrer dans les détails. Une note sur le blog de WebKit a d'ailleurs remercié le moteur de recherche pour ses découvertes. Pas de panique donc, mais il est vrai que cette annonce intervient à un mauvais moment.
Les plus courageux iront consulter les détails du rapport dans ce PDF. Les chercheurs ont identifié cinq vecteurs d'attaques potentielles rendues possibles par ces failles. Les forbans pouvaient obtenir des « données confidentielles sensibles sur les habitudes de navigation internet de l'utilisateur », explique Lukasz Olejnik, un chercheur indépendant en sécurité interrogé par le Financial Times.
Les algorithmes au cœur des fonctions anti-traçage de Safari sont exécutés en local, sur l'appareil, ce qui leur permet de « détecter le comportement de l'utilisateur et d'en savoir toujours plus automatiquement. Cet aspect centré sur l'utilisateur explique en partie pourquoi le risque de fuites d'informations était possible », constate-t-il. Des informations comme l'historique de navigation.
Une autre faille de sécurité ITP permet à un bandit de créer « une "empreinte digitale" numérique persistante qui suit l'internaute partout sur internet ». Une autre est en mesure de connaitre les recherches sur internet d'un individu. Bref, il faut toujours remettre vingt fois son ouvrage sur le métier, surtout quand on fait vœu de protéger ses utilisateurs.
