Une vulnérabilité de Safari permet à un site malveillant d’extraire des informations personnelles de l’utilisateur. Ces données peuvent être utilisées ensuite pour du phishing ou du spam. Dans l’attente d’un correctif, il suffit de désactiver une fonctionnalité par défaut de Safari 4 et 5.
Cette faiblesse dans la conception du navigateur d'Apple a été révélée par un expert en sécurité américain de la société WhiteHat Security. C'est sur son blog personnel que Jeremiah Grossman présente les détails de cette faille. Une décision qu'il a prise en l'absence de réaction de la part d'Apple. Le chercheur a en effet dans un premier temps contacté la firme le 17 juin pour l'informer des risques pour les internautes de captation de données personnelles par des sites malveillants. N'ayant reçu en retour qu'une réponse automatique par email, Jeremiah Grossman a décidé d'alerter les 83 millions d'utilisateurs de Safari.
Les données du carnet d'adresses détournées
D'après les informations communiquées par le chercheur, cette vulnérabilité concerne les versions 4 et 5 du navigateur. Les versions mobile de Safari ne sont elles pas affectées. Est mis en cause l'activation par défaut, dans les préférences, de l'utilisation des informations du carnet d'adresses pour le remplissage automatique des formulaires Web. Selon le directeur technique de WhiteHat Security, cette fonctionnalité permet à un site, sans le consentement de l'utilisateur, d'extraire les informations personnelles renseignées dans le carnet d'adresses enregistré localement dans l'OS.
Une divulgation de faille résultant de l'absence de réponse d'Apple
Les données concernées sont notamment le nom, l'adresse électronique, l'adresse postale et le numéro de téléphone. Ces informations peuvent être utilisées par Safari pour remplir automatiquement des formulaires en ligne. Or, un site peut les obtenir même si l'utilisateur ne les a jamais saisies sur aucun site Web en raison de l'activation par défaut de cette fonctionnalité. Pour Jeremiah Grossman, qui a conçu un code PoC (« proof of concept) pour démontrer la faisabilité d'un vol de données, seules quelques secondes sont nécessaires pour dérober ces informations. Si ces données peuvent sembler anodines pour nombres d'utilisateurs, le risque est bien réel insiste le chercheur.
En effet, elles peuvent être utilisées à des fins malveillantes, par exemple pour lancer des attaques de phishing ou transmettre du spam. Elles représentent également un risque pour la protection de la vie privée en ligne et l'anonymat sur Internet (certes relatif) en permettant à un site aux pratiques douteuses d'identifier un visiteur et de qualifier sa navigation. Jeremiah Grossman précise toutefois que toutes les informations contenues dans cette carte d'identité numérique ne peuvent pas être extraites. C'est le cas de celles commençant par un numéro, ce qui exclut par conséquent l'adresse exacte de l'internaute et ses coordonnées téléphoniques.
Dans son billet, le chercheur recommande aux utilisateurs de Safari de désactiver la fonctionnalité en décochant l'option « utiliser les informations de mon carnet d'adresses » dans l'onglet « Rempl auto. » du menu de préférences du navigateur. Interrogé par le New York Times sur cette faille de Safari, Apple se montre laconique et répond être informé de son existence et travailler à un correctif. « Nous prenons la sécurité et la vie privée très au sérieux » ajoute l'éditeur de Safari.
Source: ZDnet