Safari : une faille sur iPhone et Mac permet de pirater votre webcam
Une faille critique dans Safari permet à des pirates d'accéder à la webcam et au micro des iPhone et Mac. La faille qui est liée au moteur de rendu Webkit permet d'obtenir sans votre consentement l'autorisation d'accès à des composants sensibles et donc de vous espionner à votre insu.
Il s'agit d'une vieille faille découverte tout récemment par un chercheur en sécurité du nom de Ryan Pickren. Lorsque vous octroyez l'autorisation à un site web d'accéder à la webcam et au micro de votre iPhone ou Mac, Safari conserve les paramètres afin d'éviter de demander à chaque fois une nouvelle permission. Et c'est ici que la faille entre en jeu.
Grâce à un script malveillant, un hacker peut tromper Safari en lui faisant croire qu'un autre site web bénéficie des mêmes autorisations sur votre iPhone ou Mac. La vulnérabilité peut-être exploitée pour créer « une confusion sous la forme d’une réaction en chaîne qui rendrait un site malveillant similaire à Skype (par exemple), du point de vue de Safari », explique Ryan Pickren.
Assurez-vous que Safari est à jour sur votre iPhone ou Mac
Sur les appareils vulnérables, cette faille dans Safari permet de “lancer discrètement un logiciel d’infiltration de webcam pour enregistrer des conversations et prendre des photos, ou même réaliser des partages d’écrans”. La vulnérabilité est particulièrement pernicieuse en cette période de confinement où des millions de personnes ont fortement recours aux applications d'appel vidéo ou de vidéoconférence. Facebook Messenger qui dispose désormais d'une application sur Windows 10 et Mac pourrait très facilement servir d’appât.
Pendant longtemps, il n'était possible d'y accéder qu'à travers un navigateur web avec des autorisations spéciales d'accès au micro et à la webcam. Il suffirait pour un pirate de vous inciter à cliquer sur un lien via une ruse bien ficelée (publicité accrocheuse, phishing, etc.) pour mettre en oeuvre sa besogne.
Ryan Pickren a alerté Apple en décembre dernier sur cette faille liée au moteur de rendu Webkit comme plusieurs autres par le passé, ce qui lui aurait permis d'empocher 75 000 dollars de récompense. Apple s'est attelé à proposer un correctif au cours des derniers mois. Un patch a été publié en janvier puis en mars 2020 sur iOS et macOS. Si Safari est à jour sur votre iPhone ou Mac, vous êtes donc à l'abri. Dans le cas contraire, assurez-vous d'avoir installé la dernière mise à jour.