Le DMA a rendu Safari vulnérable aux attaques

L’implémentation du Digital Market Act (DMA) dans l’Union européenne a forcé la firme à la pomme à autoriser l’installation des magasins d’application tiers à partir de Safari, ou depuis n’importe quel navigateur. L’intégration de cette nouveauté ne s’est cependant pas faite sans encombre, puisqu’un duo de développeurs a découvert une faille dans Safari, rendant les utilisateurs vulnérables. Elle ne concerne que les propriétaires d’iPhone résidant dans l’union européenne, où le DMA est effectif.

Nature de la faille

Le bug trouvé dans Safari expose notre Client-ID, un identifiant unique de notre appareil. Cela permet à des sites de nous traquer sans relâche, même dans le cas où les paramètres de confidentialité sont réglés pour ne tolérer aucun suivi. De plus, le Client-ID est également exposé en navigation privée.

Voici la publication qui signale le problème, avec une vidéo explicative en anglais, pour ceux que ça intéresse :

PSA : Apple a récemment introduit un nouveau schéma d’URI afin que les utilisateurs iOS de l’UE puissent installer des applications de marché à partir du navigateur. Safari gère le système de manière non sécurisée, laissant les utilisateurs exposés au suivi.
Cette vidéo montre comment Safari et Brave gèrent le nouveau système. Brave l’emporte !

Pas de problème sur Brave

Les développeurs qui ont découvert l’anomalie ont également testé le navigateur tiers Brave, pour voir s’il exposait aussi le Client-ID, qui de son côté n’expose pas le Client-ID. Les développeurs qui ont trouvé la faille conseillent par conséquent d’utiliser Brave plutôt que Safari.

Apple devrait sans aucun doute résoudre ce problème dans les jours ou semaines à venir, il n’y a donc pas de quoi s’alarmer. Pour installer l’Alt Store de manière sûre, vous pouvez suivre notre tutoriel.