Une faille critique découverte dans Webkit
La technique de piratage n’est pas simple, mais elle est efficace : elle a été découverte par Ryan Picken en décembre 2019. Ce dernier, spécialiste de la sécurité informatique, a alerté Apple qui a confirmé l’existence de la faille et le fait qu’elle soit exploitable. Apple a remercié le spécialiste par 75.000 dollars, dans le cadre de son programme de « bug bounty ».
La faille a été identifiée dans le moteur de rendu Webkit, déjà au centre d’autres attaques et d’autres failles exploitables qu’Apple a comblées depuis. Cette dernière faille, présente sur Safari que ce soit sur iOS ou macOS, a bénéficié de deux correctifs, un en janvier 2020 et un en mars 2020. Toute personne utilisant Safari est donc invitée à mettre à jour le programme.
La faille a été identifiée dans le moteur de rendu Webkit, déjà au centre d’autres attaques et d’autres failles exploitables qu’Apple a comblées depuis. Cette dernière faille, présente sur Safari que ce soit sur iOS ou macOS, a bénéficié de deux correctifs, un en janvier 2020 et un en mars 2020. Toute personne utilisant Safari est donc invitée à mettre à jour le programme.
Des autorisations sauvegardées et exploitées
Le principe du piratage est l’exploitation des paramètres d’utilisation de la caméra et du microphone par les sites web. Safari les garde en mémoire ce qui permet, par exemple, de ne pas avoir à autoriser à chaque fois un site pour qu’il accède à votre webcam. Pendant le confinement, alors que les sites de messagerie sont très utilisés, le risque est accru.
Pour vous attaquer, il suffit au hacker de faire croire à Safari que son site dispose des mêmes accès que des sites autorisés. De fait, aucune notification ou demande d’autorisation pour accéder à votre webcam et votre microphone n’apparaîtront, alors que le hacker les a bien lancés. Une fois cela fait, il peut donc vous espionner en toute impunité.
L’attaque est donc dangereuse pour la vie privée, mais ne présente aucun risque pour les données personnelles stockées sur l’ordinateur ou encore les données bancaires, qui sont malgré tout la cible principale des pirates.
Pour vous attaquer, il suffit au hacker de faire croire à Safari que son site dispose des mêmes accès que des sites autorisés. De fait, aucune notification ou demande d’autorisation pour accéder à votre webcam et votre microphone n’apparaîtront, alors que le hacker les a bien lancés. Une fois cela fait, il peut donc vous espionner en toute impunité.
L’attaque est donc dangereuse pour la vie privée, mais ne présente aucun risque pour les données personnelles stockées sur l’ordinateur ou encore les données bancaires, qui sont malgré tout la cible principale des pirates.