NLTO
/ Magazine d'actualité politique, économique et internationale /



Safari : une faille critique permettant de pirater la caméra




7 Avril 2020

Les utilisateurs de Safari sont une nouvelle fois la cible potentielle des hackers : une faille critique a été identifiée fin 2019 par une spécialiste de la sécurité informatique. Elle permet de pirater, à l’insu de l’utilisateur, la caméra et le microphone.


Une faille critique découverte dans Webkit

La technique de piratage n’est pas simple, mais elle est efficace : elle a été découverte par Ryan Picken en décembre 2019. Ce dernier, spécialiste de la sécurité informatique, a alerté Apple qui a confirmé l’existence de la faille et le fait qu’elle soit exploitable. Apple a remercié le spécialiste par 75.000 dollars, dans le cadre de son programme de « bug bounty ».

La faille a été identifiée dans le moteur de rendu Webkit, déjà au centre d’autres attaques et d’autres failles exploitables qu’Apple a comblées depuis. Cette dernière faille, présente sur Safari que ce soit sur iOS ou macOS, a bénéficié de deux correctifs, un en janvier 2020 et un en mars 2020. Toute personne utilisant Safari est donc invitée à mettre à jour le programme.

Des autorisations sauvegardées et exploitées

Le principe du piratage est l’exploitation des paramètres d’utilisation de la caméra et du microphone par les sites web. Safari les garde en mémoire ce qui permet, par exemple, de ne pas avoir à autoriser à chaque fois un site pour qu’il accède à votre webcam. Pendant le confinement, alors que les sites de messagerie sont très utilisés, le risque est accru.

Pour vous attaquer, il suffit au hacker de faire croire à Safari que son site dispose des mêmes accès que des sites autorisés. De fait, aucune notification ou demande d’autorisation pour accéder à votre webcam et votre microphone n’apparaîtront, alors que le hacker les a bien lancés. Une fois cela fait, il peut donc vous espionner en toute impunité.

L’attaque est donc dangereuse pour la vie privée, mais ne présente aucun risque pour les données personnelles stockées sur l’ordinateur ou encore les données bancaires, qui sont malgré tout la cible principale des pirates.