Les gros titres sur de nombreux sites de veille technologique cette semaine s'élevaient à un gros quoi ? Une fonction anti-pistage dans le navigateur Safari d'Apple exposait en fait les habitudes de navigation privée, selon des chercheurs extérieurs à Apple. Il s'agissait de l'Intelligent Tracking Prevention (ITP) mis en œuvre par le navigateur Safari d'Apple.

L'outil Intelligent Tracking Prevention est devenu disponible en 2017.

Ivan Mehta dans TNW élargi :« En 2017, Apple a déployé sa technologie ITP, l'un des kits de protection de la vie privée les plus appréciés pour le Web à travers le monde. Le système efface régulièrement les cookies propriétaires et bloque les cookies tiers par défaut, ce qui rend difficile pour les annonceurs de suivre les utilisateurs."

Le grattage de la tête devenait de plus en plus intense. L'équipe de chercheurs de Google a signalé à Apple le problème de certaines failles en août 2019 et en décembre, un article de blog d'Apple indiquait que les problèmes de navigateur avaient été résolus.

Un ingénieur d'Apple a déclaré dans le blog WebKit en décembre que la question avait été résolue – la nouvelle était encourageante pour tout utilisateur inquiet du suivi des retombées. Apple avait produit un correctif et a dit merci à Google.

Mais les chercheurs de Google ont encore soulevé des problèmes.

Temps Financier avait une histoire très citée, et d'autres collecteurs de nouvelles ont également parlé, un article publié par des chercheurs de Google qui a trouvé des problèmes, et le document a été publié le 21 janvier. "Information Leaks via Safari's Intelligent Tracking Prevention" est le titre du rapport de Google; les auteurs étaient Artur Janc, Krzysztof Kotowicz, Lukas Weichselbaum et Roberto Clapis. Leur objectif est toujours l'outil proposé par Apple pour contrer le suivi Web.

Réellement, selon le rapport de l'équipe Google à ce sujet, l'équipe d'ingénierie de la sécurité de l'information de Google a découvert les failles pour la première fois lors d'un "examen de sécurité de routine". C'est à ce moment-là qu'ils ont découvert des problèmes de sécurité et de confidentialité dans la conception de la prévention intelligente du suivi de Safari.

Dans le rapport Google, ils ont écrit :« Les auteurs de ce rapport croient fermement à l'amélioration de la posture de confidentialité du Web et applaudissent les efforts continus des développeurs de Safari dans ce domaine. En même temps, nous aimerions noter que tous les changements apportés à la plate-forme Web qui affectent les propriétés de sécurité (telles que la modification du comportement des extractions de ressources intersites) comportent le risque de compromettre la confidentialité et/ou la sécurité des utilisateurs, à moins que des précautions particulières ne soient prises pour comprendre leur impact sur la plate-forme. Nous sommes impatients de collaborer avec Apple sur la sécurité future et améliorations de la confidentialité sur le Web."

Fin de l'histoire? Après tout, Reuters a rapporté le 22 janvier qu'"un porte-parole d'Apple a confirmé mercredi que les failles trouvées par Google et mises en évidence dans l'article du Financial Times avaient été corrigées l'année dernière".

Dans le post du 10 décembre, John Wilander avait dit, « Nous avons conçu trois améliorations de l'ITP qui non seulement combattent la détection de traitements différents, mais améliorent également la prévention du suivi en général. »

Les cookies ont été l'un des problèmes abordés. Wilander a dit, « ITP empêchera désormais toutes les demandes de tiers de voir leurs cookies, quel que soit le statut de classification du domaine tiers, à moins que le site Web propriétaire n'ait déjà reçu une interaction de l'utilisateur."

Une autre des améliorations consistait à déclasser les en-têtes des référents.

« ITP rétrograde désormais tous les en-têtes de référents de requêtes intersites uniquement à l'origine de la page. Auparavant, cela n'a été fait que pour les demandes intersites vers des domaines classifiés.

Wilander a donné un exemple aux lecteurs. Une requête à images.example qui contenait auparavant l'en-tête de référence "store.example/baby/strollers/d … oller-navy-blue.html" sera désormais réduite à simplement "store.example/".

Le billet de blog de Wilander en décembre avait publié des choses tout aussi agréables à dire sur Google. "Merci à Google" était l'en-tête d'un paragraphe dans le billet de blog WebKit.

"Nous tenons à remercier Google de nous avoir envoyé un rapport dans lequel ils explorent à la fois la capacité de détecter quand le contenu Web est traité différemment par la prévention du suivi et les mauvaises choses qui sont possibles avec une telle détection. Leur pratique de divulgation responsable nous a permis de concevoir et testez les modifications détaillées ci-dessus. Le crédit complet sera accordé dans les prochaines notes de mise à jour de sécurité. "

Donc, pouvons-nous tous rentrer à la maison maintenant? Attendez une minute. Le reportage d'Alfred Ng pour CNET a parlé d'un tweet du directeur de l'ingénierie de Google Chrome, Justin Schuh, selon lequel Apple n'a pas résolu certains problèmes de prévention du suivi de Safari.

Schuh avait tweeté:"Ce n'est pas le cas. J'ai expliqué ailleurs que le billet de blog d'Apple était déroutant pour l'équipe qui a fourni le rapport. Le message a été publié lors d'une extension de divulgation demandée par Apple, mais n'a pas divulgué les vulnérabilités, et les changements mentionnés n'ont pas résolu les problèmes signalés."

Rami Tabari, Chargeur pour ordinateur portable , mentionné, "un certain nombre de problèmes abordés dans cet article ont été traités dans Safari 13.0.4 et iOS 13.3, qui est sorti en décembre 2019." Pourtant Ordinateur portable Mag' s sous-titre :"Apple l'a corrigé, mais il y a toujours une menace."

Au moment d'écrire ces lignes, Silicon.co.uk a rapporté qu'Apple avait corrigé les défauts de suivi de Safari, mais l'ingénieur de Google n'était pas d'accord. Tom Jowitt a expliqué qu'il semblait que l'ingénieur de Google ne pensait pas qu'Apple avait réellement corrigé le problème.

Aussi, au moment d'écrire ces lignes, Bloomberg a dit ceci :"Le document de mercredi a conclu que les problèmes vont au-delà des problèmes traités par Apple. Au lieu de faire une grande liste de cookies à bloquer, L'ITP d'Apple apprend en permanence quels sites Web les utilisateurs visitent et quels types de cookies tentent de faire du stop. Heures supplémentaires, cela crée des algorithmes de blocage des cookies uniques pour chaque internaute qui peuvent être utilisés pour les identifier et les suivre, selon le journal."

Le rapport de Gerrit De Vynck, Technologie Bloomberg, sans donner de réponse dure, était particulièrement perspicace. Il a emmené ses lecteurs dans le domaine plus large de la dynamique du marché des navigateurs Apple-Google.

Chrome de Google et Safari d'Apple sont deux des navigateurs Web les plus populaires, avec Chrome utilisé par plus de gens mais avec la domination de Safari sur les iPhones, il a écrit. « Apple a vanté les fonctionnalités de confidentialité de Safari pour persuader davantage de consommateurs de l'utiliser. Apple a introduit pour la première fois la prévention intelligente du suivi en 2017. »

De Vynck savait à quel point « les défenseurs de la vie privée ont loué l'approche d'Apple en matière de suivi, et a critiqué Google pour avoir mis si longtemps à faire de même. Mais le document suggère qu'Apple devra peut-être retourner à la planche à dessin pour trouver un nouveau moyen de bloquer le suivi."

© 2020 Réseau Science X