Dans un cas apparemment rare d’énormes entreprises de technologie qui se cherchent, Google a révélé avoir récemment informé Apple d’une faille de sécurité grave qu’il avait découverte avec son navigateur Safari. La vulnérabilité aurait pu donner aux pirates un accès au comportement en ligne d’un utilisateur, avec un suivi persistant des recherches sur le Web d’un utilisateur également possible, a déclaré Google.
Dans un document technique publié en ligne cette semaine, les chercheurs de Google ont décrit comment ils avaient trouvé cinq types différents d’attaques potentielles liées à la vulnérabilité qui auraient permis à des tiers de collecter « des informations privées sensibles sur les habitudes de navigation de l’utilisateur ».
Le problème concernait la technologie Intelligent Tracking Prevention (ITP) d’Apple, Formation SEO Lille un mécanisme de confidentialité intégré au navigateur Safari en octobre 2017. ITP est conçu pour réduire le suivi intersite des utilisateurs Web en limitant les capacités des cookies et d’autres données de site Web, mais, ironiquement, la vulnérabilité ITP avait le potentiel d’exposer des données liées au navigateur.
Google a déclaré que la faille découverte mettait les données des utilisateurs en danger car ils offraient l’accès à une liste sur l’appareil créée par la technologie ITP qui « stocke implicitement des informations sur les sites Web visités par l’utilisateur ». Lukasz Olejnik, chercheur indépendant en sécurité, a déclaré à Financial Times (FT) que si la faiblesse avait été exploitée ou utilisée, elle aurait ouvert la voie à un «suivi des utilisateurs non autorisé et incontrôlable».
Selon le FT, Google a informé Apple de la vulnérabilité en août 2019, incitant l’entreprise à la corriger. À la fin de l’année dernière, l’ingénieur Apple John Wilander a reconnu l’aide de Google dans un article de blog, mais à l’époque, il a refusé de fournir des informations spécifiques sur le problème.
« Nous aimerions remercier Google de nous avoir envoyé un rapport dans lequel ils explorent à la fois la capacité de détecter quand le contenu Web est traité différemment en suivant la prévention et les mauvaises choses qui sont possibles avec une telle détection », a écrit Wilander dans le post. «Leur pratique de divulgation responsable nous a permis de concevoir et de tester les modifications détaillées ci-dessus.»
Dans une déclaration distincte publiée cette semaine, Google a déclaré qu’il avait toujours été désireux de travailler avec des entreprises du secteur de la technologie « pour échanger des informations sur les vulnérabilités potentielles et protéger nos utilisateurs respectifs », expliquant que l’équipe centrale de recherche en sécurité de Google avait travaillé « en étroite collaboration » avec Apple sur cette question. ajouté, « Le document technique explique simplement ce que nos chercheurs ont découvert afin que d’autres puissent bénéficier de leurs résultats. »