Les mauvaises nouvelles concernant la sécurité des produits Apple s’enchaînent. Jeremiah Grossman, patron de l’entreprise de sécurité WhiteHat Security, détaille ainsi sur son blog personnel une faille importante affectant Safari 4 et 5 qui peut permettre à un pirate de voler des informations personnelles en provenance directe de votre carnet d’adresses local.
Celle-ci réside dans la fonction de remplissage automatique (AutoFill), activée par défaut dans le navigateur d’Apple, qui utilise le carnet d’adresses de votre ordinateur pour remplir plus rapidement des formulaires, par exemple pour s’inscrire sur un site.
Pratique, cette fonction peut par exemple vous éviter d’inscrire vos coordonnées lorsque vous vous abonnez à un nouveau service. Il suffit d’indiquer la première lettre de votre nom pour que Safari vous propose automatiquement de compléter les données manquantes.
Or, d’après Jeremiah Grossman, il suffit qu’un pirate programme un simple Javascript pour profiter de cette fonction aux dépens de l’utilisateur. « Dès qu’un utilisateur de Safari visite un site [malveillant, NDLR], même s’il n’y est jamais allé auparavant et n’y a jamais entré d’informations personnelles, il est possible [pour le pirate] de retrouver son nom, prénom, lieu de travail, ville, état, et adresse-email », indique Jeremiah Grossman. Qui propose même un programme « preuve de concept » pour prouver ses dires.
Apple, roi des vulnérabilités selon un récent rapport de Secunia
Le logiciel, potentiellement malveillant, fonctionnerait donc tout bêtement en se servant de l’auto-remplissage : le hack de démonstration de Jeremiah Grossman vérifie pour chaque lettre de l’alphabet une correspondance dans le carnet d’adresses, et « vole » la donnée s’il la trouve. Dans les faits, la manipulation semble fonctionner sous Mac OS, mais nous ne sommes pas parvenus à la reproduire sous Windows 7, le script ne parvenant pas à trouver nos coordonnées.
Même s’il n’a jamais eu vent de vol de données utilisant cette technique, Jeremiah Grossman invite cependant l’ensemble des utilisateurs de Safari (5,7 % des internautes en Europe, selon AT Internet) à désactiver cette fonction. Il a par ailleurs alerté Apple, qui n’a pas réagi pour le moment.
Cette faille est un nouveau coup dur pour Apple, qui vient de se faire épingler dans un récent rapport de Secunia (voir ici en PDF). L’entreprise est classée première dans le top 10 des entreprises souffrant le plus de vulnérabilités découvertes en ce premier semestre 2010, principalement à cause de Safari, Quicktime et iTunes.
🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.