Apple a dépêché ses ingénieurs pour corriger un problème technique dans un composant clé des navigateurs web. Le développement du patch est terminé, il ne reste qu’à déployer la mise à jour.

Il faut croire que la médiatisation soutenue d’un bug dans certains navigateurs web utilisés sur macOS, iOS et iPadOS a fait son petit effet chez Apple. Peu de temps après avoir divulgué le problème, l’informaticien qui a constaté une défaillance dans plusieurs navigateurs a fait savoir que l’entreprise américaine a mis des ingénieurs sur le coup pour le corriger.

« Mise à jour sur la fuite IndexedDB : les ingénieurs d’Apple ont commencé à travailler sur le bug à partir de dimanche, ont fusionné les corrections potentielles et ont marqué notre rapport comme étant résolu. Cependant, le bug continue de persister jusqu’à ce que les changements soient publiés », indique FingerprintJS sur Twitter le 17 janvier 2022.

safari-15-vulnerability
Un visuel décrivant un peu le principe de la fuite avec l’API IndexedDB. // Source : FingerprintJS

Un problème affectant plusieurs navigateurs web

FingerprintJS est le nom du site sur lequel a été rendue publique l’existence du bug. Dans les grandes lignes, le problème se situe dans le moteur de rendu WebKit. Il s’agit d’un composant central dans les navigateurs, car il sert à interpréter le code HTML pour afficher les pages. WebKit est développé par Apple. Il en existe d’autres, pour Firefox ou Chrome par exemple.

Le dysfonctionnement affectant WebKit, ce sont les navigateurs qui reposent dessus qui sont exposés à un problème de fuite de données impliquant une API spéciale, appelée IndexedDB. Il y a notamment Safari sur macOS, mais aussi les navigateurs web sur iOS et iPadOS, dans la mesure où Apple exige qu’ils utilisent WebKit sur ses plateformes mobiles.

L’implémentation de l’API IndexedDB dans WebKit est la cause de l’incident. Dans certaines circonstances, le problème peut exposer l’historique d’un internaute durant sa session de navigation. L’indication des sites vus ainsi que de certains éléments stockés dans IndexedDB font qu’il peut être possible de remonter la trace d’un internaute et de parvenir à le « dé-anonymiser ».

Le suivi du code de WebKit peut être vu sur GitHub, une plateforme spécialisée dans le développement logiciel. Il reste maintenant à propager la mise à jour du moteur de rendu dans les navigateurs web et qu’ensuite les internautes obtiennent la version corrigée du navigateur qu’ils utilisent pour aller sur le net, pour que le risque de fuite se dissipe.