Dans un billet qui n'a pas encore été rendu accessible au public conformément à la politique de Google Zero, les chercheurs ont révélé des problèmes dans une fonctionnalité Safari qui est en fait censée accroître la confidentialité des utilisateurs. La fonctionnalité Intelligent Tracking Prevention (ITP) présente dans les versions iOS, iPadOS et macOS du navigateur est destinée à bloquer le suivi. Cependant, avec les vulnérabilités, des tiers auraient pu accéder à des informations sensibles sur les habitudes de navigation des utilisateurs.
Dans l'article, qui a été consulté par le Financial Times, les chercheurs de l'équipe cloud de Google ont identifié pas moins de cinq formes potentielles d'attaque qui pourraient exploiter les vulnérabilités et recueillir « des informations privées sensibles sur les habitudes de navigation de l'utilisateur ».
Dans une déclaration, Google a indiqué : « Nous travaillons depuis longtemps avec des entreprises de l'industrie pour échanger des informations sur les vulnérabilités potentielles et protéger nos utilisateurs respectifs. Notre équipe principale de recherche sur la sécurité a travaillé en étroite collaboration avec Apple sur ce problème. Le document technique explique simplement ce que nos chercheurs ont découvert, afin que d'autres puissent bénéficier de leurs découvertes ».
Les détails des failles de sécurité ont été révélés à Apple en août de l'année dernière, et la société a discrètement corrigé les vulnérabilités en décembre.
Et le Financial Times d'expliquer :
« Selon les chercheurs de Google, les vulnérabilités ont laissé des données personnelles exposées "car la liste ITP stocke implicitement des informations sur les sites Web visités par l'utilisateur". Les chercheurs ont également identifié une faille qui permettait aux hackers de "créer une empreinte numérique persistante qui suivrait l'utilisateur sur le Web", tandis que d'autres étaient en mesure de révéler ce que les utilisateurs individuels recherchaient sur les pages des moteurs de recherche ».
La réaction d'Apple
Une information qui a été confirmée dans un billet explicatif d'Apple rédigé par John Wilander où il a expliqué un certain nombre de changements qui ont été implémentés dans la fonctionnalité avant de remercier Google :
« Tout type de prévention du suivi ou de blocage de contenu qui traite le contenu Web différemment en fonction de son origine ou de l'URL risque d'être abusé lui-même à des fins de suivi si l'ensemble d'origines ou d'URL fournit un caractère unique au navigateur et que les pages Web peuvent détecter ce traitement différent. Pour lutter contre cela, les fonctionnalités de prévention du suivi doivent rendre difficile, voire impossible, la détection du contenu Web et des données du site Web qui sont considérés comme capables de suivi. Nous avons conçu trois améliorations ITP qui non seulement combattent la détection de traitements différents, mais améliorent également la prévention du suivi en général :
- Référent d'origine uniquement pour toutes les demandes de tiers : ITP rétrograde désormais tous les header de référents de demande intersite à l'origine de la page uniquement. Auparavant, cela n'était effectué que pour les demandes intersites vers des domaines classés. À titre d'exemple, une demande à https://images.example qui contiendrait auparavant l'en-tête de référence "https: //store.example/baby/strollers/deluxe-stroller-navy-blue.html" sera désormais réduite à seulement "Https: //store.example/".
- Tous les cookies tiers bloqués sur les sites Web sans interaction préalable de l'utilisateur : ITP bloquera désormais toutes les demandes de tiers de voir leurs cookies, quel que soit le statut de classification du domaine tiers, à moins que le site Web propriétaire n'ait déjà reçu une interaction de l'utilisateur.
- L'API d'accès au stockage prend en considération la politique de cookies sous-jacente : la politique de cookies d'origine de Safari empêche les tiers de définir des cookies, sauf s'ils ont déjà défini des cookies en tant que first-party. Il est toujours en vigueur sous ITP. Depuis cette mise à jour ITP, l'API d'accès au stockage prend en compte la politique de cookies de Safari lors du traitement des appels à document.hasStorageAccess(). Maintenant, un appel à document.hasStorageAccess() peut être résolue avec false pour l'une des deux raisons:
- Parce que ITP bloque les cookies et aucun accès explicite au stockage n'a été accordé.
- Parce que le domaine n'a pas de cookies et donc la politique de cookies bloque les cookies.
Les développeurs ont demandé cette modification, car précédemment document.hasStorageAccess() peut être résolue avec true mais l'iframe ne pouvait toujours pas définir de cookies en raison de la politique de cookies. C'est un cas rare dans la pratique, car la politique en matière de cookies de Safari est en vigueur depuis une décennie et demie et presque tous les sites Web qui souhaitent utiliser des cookies en tant que tiers définissent également des cookies en tant que first-party ».
Apple a remercié Google en ces termes :
« Nous tenons à remercier Google pour nous avoir envoyé un rapport dans lequel ils ont exploré à la fois la capacité de détecter les cas où le contenu Web est traité différemment par le suivi de la prévention et les choses malveillantes qui peuvent être réalisées avec une telle détection. Leur pratique de divulgation responsable nous a permis de concevoir et de tester les modifications détaillées ci-dessus. Un crédit complet sera donné dans les prochaines notes de mise à jour de sécurité ».
L'ironie d'une fonctionnalité de protection de la vie privée présentant une vulnérabilité a été notée par le chercheur en sécurité indépendant Lukasz Olejnik qui a noté : « Vous ne vous seriez pas attendu à ce que les technologies censées améliorer la confidentialité apportent plutôt des risques pour la confidentialité. Si ces failles étaient exploitées ou utilisées, elles permettraient un pistage non autorisé et non contrôlable des utilisateurs. Alors qu'aujourd'hui de telles vulnérabilités de confidentialité sont très rares, les problèmes de mécanismes conçus pour améliorer la confidentialité sont inattendus et hautement contre-intuitifs ».
Olejnik a ajouté que la façon dont ITP stocke les données le rend vulnérable: « ITP exécute ses algorithmes sur l'appareil, ce qui lui permet de détecter les comportements et de les "apprendre" automatiquement. Mais cet aspect spécifique à l'utilisateur explique également en partie le risque d'information des fuites étaient possibles ».
Source : Financial Times, Apple