Un chercheur en sécurité a découvert que n'importe qui pouvait accéder à votre historique web Safari avec un simple malware. Apple travaille à la correction
Vous avez un Mac et vous utilisez Safari pour naviguer sur le web ? Alors votre vie privée peut être en danger. Une faille non encore corrigée dans macOS Mojave, la dernière version du système d'exploitation pour iMacs et Macbooks, permet à quiconque le souhaite (avec les bonnes compétences techniques, bien sûr) d'accéder à l'historique du navigateur d'Apple.
Apple a admis être au courant de la vulnérabilité de son système d'exploitation et travaille à la corriger. Toutefois, cela pourrait prendre un certain temps, comme l'admet Jeff Johnson, le chercheur en sécurité qui a découvert le bogue. En attendant, que pouvez-vous faire pour protéger votre vie privée lorsque vous naviguez ? Probablement, la seule solution est de changer de navigateur, au moins jusqu'à ce qu'Apple publie une mise à jour ad hoc. Bien sûr, on ne sait pas si d'autres navigateurs souffrent de la même vulnérabilité, mais pour le moment, il semble être la seule "bouée de sauvetage".
L'historique de Safari en danger, que se passe-t-il ?
Avec macOS Mojave, les ingénieurs et développeurs d'Apple ont introduit une nouvelle fonctionnalité de sécurité destinée à protéger les données des utilisateurs. Grâce à ce nouvel outil, toutes les applications installées sur le PC ne peuvent pas accéder aux dossiers (et à leur contenu) du disque dur. On ne sait pas encore pourquoi, mais le dossier Safari sur macOS Mojave n'est pas protégé par cette fonctionnalité, ce qui signifie que d'autres programmes installés sur l'ordinateur peuvent accéder au dossier du navigateur et passer au crible les données qui y sont stockées. Y compris l'historique du fichier, bien sûr.
Selon Jeff Johnson, un cybercriminel pourrait exploiter cette faille à son avantage d'une manière très simple. Il suffirait d'infecter le Mac avec un malware quelconque pour avoir accès au dossier Safari et donc à l'historique web du propriétaire du PC. Il suffirait d'un spam ou d'une attaque d'ingénierie sociale pour "inciter" l'utilisateur à installer le logiciel malveillant et le tour est joué : à partir de ce moment, il pourrait espionner toutes vos activités en ligne en silence et sans demander aucune autre permission ou autorisation.