L’ingénieur Google Chrome Justin Schuh a laissé entendre qu’un problème avec la fonction de prévention du suivi intelligent d’Apple pour Safari n’était peut-être toujours pas résolu.

Des rapports volent partout sur le Web concernant un article du Financial Times intitulé “ Le logiciel de confidentialité d’Apple a permis de suivre les utilisateurs, dit Google ”. Cet article couvre un document «qui sera bientôt publié» détaillant les problèmes détectés dans la fonction de prévention du suivi intelligent d’Apple pour son navigateur Web Safari. Ironiquement, il a été révélé en décembre que Google avait trouvé une faille qui signifiait que les utilisateurs pouvaient être suivis par le … vous savez … un logiciel de prévention du suivi.

Lukas Olejnik, cité par FT, a publié un lien vers le journal sur Twitter et a déclaré:

Apple / Safari Intelligent Tracking Prevention est un mécanisme destiné à améliorer la confidentialité. Il a été constaté qu’il présentait des failles de confidentialité permettant aux sites de suivre l’utilisateur (et ses empreintes digitales) et de voler l’historique du navigateur Web d’un utilisateur. Trouvaille incroyable.

Apple / Safari Intelligent Tracking Prevention est un mécanisme destiné à améliorer la confidentialité. Il a été constaté qu’il présentait des failles de confidentialité permettant aux sites de suivre l’utilisateur (et ses empreintes digitales) et de voler l’historique du navigateur Web d’un utilisateur. Trouvaille incroyable. https://t.co/LfQ4utWyLJ pic.twitter.com/HR48ulUoHK

– Lukasz Olejnik (@lukOlejnik) 22 janvier 2020

Maintenant, comme mentionné, la nouvelle qu’Apple avait des problèmes avec la fonction de prévention du suivi intelligent n’est pas une nouvelle. En fait, l’ingénieur derrière le logiciel, John Wilander a publié un article de blog intitulé Preventing Tracking Prevention Tracking pour résoudre le problème, concluant:

Nous tenons à remercier Google de nous avoir envoyé un rapport dans lequel ils explorent à la fois la capacité de détecter quand le contenu Web est traité différemment en suivant la prévention et les mauvaises choses qui sont possibles avec une telle détection. Leur pratique de divulgation responsable nous a permis de concevoir et de tester les modifications détaillées ci-dessus. Un crédit complet sera donné dans les prochaines notes de mise à jour de sécurité.

Cela visait apparemment à rassurer les esprits. L’abrégé du document au centre de cette histoire déclare également:

“Un certain nombre des problèmes abordés ici ont été résolus dans Safari 13.0.4 et iOS 13.3, publiés en décembre 2019.”

Selon Justin Schuh cependant, l’équipe qui a fourni le rapport original à Apple concernant le problème a été confondue par ce post, et il a en outre déclaré qu’Apple ne semble pas avoir résolu le problème. En réponse à un tweet reliant le message qui disait “Je pense (corrigez-moi si je me trompe), cela a été abordé ici”, a-t-il déclaré:

Il n’a pas. J’ai expliqué ailleurs que le blog d’Apple était déroutant pour l’équipe qui avait fourni le rapport. Le message a été publié lors d’une extension de divulgation demandée par Apple, mais n’a pas révélé les vulnérabilités, et les modifications mentionnées n’ont pas résolu les problèmes signalés.

Il n’a pas. J’ai expliqué ailleurs que le blog d’Apple était déroutant pour l’équipe qui avait fourni le rapport. Le message a été publié lors d’une extension de divulgation demandée par Apple, mais n’a pas révélé les vulnérabilités, et les modifications mentionnées n’ont pas résolu les problèmes signalés.

– Justin Schuh 🤬 (@justinschuh) 22 janvier 2020

En réponse à la question plus générale, il a déclaré:

C’est un problème plus important que l’ITP de Safari, qui introduit des vulnérabilités de confidentialité beaucoup plus graves que les types de suivi qu’il est censé atténuer. La recherche intersite et les canaux secondaires associés qu’elle expose sont également des failles de sécurité abusives.

Pour ajouter un peu de contexte, le vérificateur XSS de Chrome s’est révélé présenter exactement la même classe de vulnérabilités de canal latéral. Après plusieurs échanges avec l’équipe qui a découvert le problème, nous avons déterminé qu’il était inhérent à la conception et que nous devions supprimer le code.

Je n’ai aucune idée de ce que Apple prévoit de faire à ce sujet, car cela a été un thème déterminant dans leur approche anti-suivi (et l’une de nos principales préoccupations). Ils tentent d’atténuer le suivi en ajoutant des mécanismes d’état, mais l’ajout d’états introduit souvent des problèmes de confidentialité / sécurité plus graves.

C’est un problème plus important que l’ITP de Safari, qui introduit des vulnérabilités de confidentialité beaucoup plus graves que les types de suivi qu’il est censé atténuer. La recherche intersite et les canaux secondaires associés qu’elle expose sont également des failles de sécurité abusives. https://t.co/yykGZIA0Ee

– Justin Schuh 🤬 (@justinschuh) 22 janvier 2020

Comme mentionné, la plupart des rapports d’aujourd’hui semblent tourner autour du document publié, et la plupart d’entre eux font également référence au billet de blog qui a apparemment abordé la question. Cependant, comme mentionné, Schuh semble assez catégorique que le billet de blog et les modifications d’Apple “n’ont pas résolu les problèmes signalés”, et il a également déclaré qu’il “n’avait aucune idée de ce qu’Apple prévoyait de faire à ce sujet”. Dans une réponse différente à un autre tweet reliant le même article de blog Apple traitant du problème, Schuh a de nouveau déclaré:

Non, je peux vous assurer qu’ils n’ont toujours pas résolu ces problèmes, ce qui a rendu cet article de blog l’année dernière si étrange. Apple n’a pas divulgué les vulnérabilités ni crédité les chercheurs de manière appropriée, mais a publié un article impliquant qu’ils avaient corrigé “quelque chose”.

Non, je peux vous assurer qu’ils n’ont toujours pas résolu ces problèmes, ce qui a rendu cet article de blog l’année dernière si étrange. Apple n’a pas divulgué les vulnérabilités ni crédité les chercheurs de manière appropriée, mais a publié un article impliquant qu’ils avaient corrigé “quelque chose”.

– Justin Schuh 🤬 (@justinschuh) 22 janvier 2020

Un journaliste de . a déclaré que Google avait refusé de commenter les commentaires de Schuh.