Une faille dans le service Connexion avec Apple pouvait permettre aux hackers de s’inviter

Il existe aujourd'hui de nombreuses méthodes pour se connecter sur ses applications et services web préférés. Les géants de la tech proposent notamment des services d'authentification pour simplifier le processus. Mais ce n'est pas sans danger.

L’option « Connexion avec Apple » est plus sécurisée que d’autres options plus traditionnelles d’authentification. Tout du moins sur le papier. Celle-ci souffrait en effet d’une faille de sécurité très sérieuse permettant à une personne malintentionnée de prendre le contrôle d’un compte utilisateur.

Une faille dans le service Connexion avec Apple

Le chercheur Bhavuk Jain a récemment reçu 100 000$ de récompense de la part d’Apple pour avoir découvert une faille dans le service de connexion proposé sur les applications tierces. Si une application n’avait pas mis en place ses propres mesures de sécurité, un hacker pouvait se créer un token lié à n’importe quel adresse email et le faire valider en utilisant la clef publique d’Apple. Suffisant pour prendre le « contrôle total d’un compte » et ce même si l’utilisateur légitime avait choisi de cacher son adresse email aux autres services.

pouvait permettre à un hacker de prendre le contrôle total d’un compte

Bhavuk Jain expliquait avoir découvert cette faille en avril dernier. Elle est aujourd’hui corrigée. Apple déclarait de son côté n’avoir constaté aucune compromission de comptes résultant d’une exploitation de cette faille. Autrement dit, aucun dommage n’aurait été causé avec cette faille de sécurité. Toujours est-il que son existence même est un petit caillou dans les rouages de la machine Apple et sa volonté de proposer des services sécurisés. D’autant plus que celle-ci survient peu après une vulnérabilité découverte dans l’application Mail. Les équipes de la firme de Cupertino les corrigent rapidement. Espérons simplement que ce sera toujours le cas et qu’elles ne se multiplieront pas trop.