Passer au contenu

Le nouveau système d’authentification d’Apple serait bancal selon OpenID

La fondation OpenID reproche à Apple de s’être largement inspiré de son standard, sans toutefois l’implémenter totalement. Ce qui ouvre la porte à un certain nombre de failles de sécurité.

Avec son nouveau service « Connexion avec Apple », qui a été présenté en juin dernier lors de la conférence WWDC, la firme de Cupertino joue une nouvelle fois la carte de la protection des données personnelles. Contrairement aux systèmes d’authentification de Facebook et Google, celui d’Apple va masquer les adresses e-mail des utilisateurs et, par conséquent, préserver leur vie privée. C’est une bonne idée.

Ce qui est moins bien, en revanche, c’est qu’Apple a visiblement lésiné sur la sécurité informatique de sa solution. C’est en tous les cas ce que pense Nat Sakimura, président de la fondation OpenID. Celle-ci est responsable du développement du standard d’authentification éponyme, largement utilisé dans l’industrie du web. Dans une lettre adressée à Craig Federighi, vice-président de l’ingénierie logicielle, le président constate qu’Apple s’est largement inspiré de ce standard pour créer son système d’authentification… sans toutefois le dire publiquement et, surtout, sans implémenter la totalité des spécifications. Résultat : Connexion avec Apple présenterait d’ores et déjà plusieurs failles de sécurité.

Des attaques et des bugs

Ainsi, dans un document en ligne, la fondation a listé trois erreurs d’implémentation qui permettraient à un attaquant de réaliser des attaques par insertion de code ou de type « Cross Site Request Forgery Attack ». Une quatrième erreur d’implémentation diminuerait par ailleurs la protection des données personnelles, ce qui est un comble. La fondation profite de ce document pour également lister, en bon samaritain, une petite dizaine de bugs trouvés dans le protocole d’Apple.

Nat Sakimura estime que cette situation n’est pas satisfaisante. « Les différences actuelles entre OpenID Connect et Connexion avec Apple réduisent les cas où les utilisateurs peuvent utiliser Connexion avec Apple et les exposent à des risques plus importants en matière de sécurité et de confidentialité. Cela impose également un travail inutile aux développeurs d’OpenID Connect et de Connexion avec Apple », écrit-il. Dans la fin de sa lettre, il exhorte Apple non seulement de corriger ces erreurs d’implémentations, mais aussi de rejoindre officiellement la fondation OpenID. Mais c’est probablement un vœu pieux. Par le passé, Apple ne s’est jamais montré très intéressé par les jeux collectifs.

Source: Lettre de Nat Sakimura (via ZDnet)

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Gilbert KALLENBORN
Les dernières actualités
Nintendo Switch
Nintendo : des Joy-Con magnétiques pour la Switch 2 ?
Smartphone Mains
Apple supprime des apps IA permettant de « dénuder » n’importe qui
Le démarchage téléphonique est désormais limité par de nouvelles règles entrées en vigueur le 1er mars dernier. appel telephone
Face au démarchage téléphonique, les Français ne prennent plus les appels des numéros inconnus
Iphone 14 Ifixit
Apple est accusée d’exploiter des « minéraux de conflit »
Shein site web textile plateforme
Shein, sous contrôle renforcé de l’UE, a quatre mois pour montrer patte blanche
Aptoide
Un magasin d’application alternatif célèbre sur Android arrive sur iPhone
Site Pirate Streaming Illegal
Torrent : dopé à l’IA, ce moteur de recherche anonyme est impossible à stopper
Glance
Un premier pas vers les pubs sur l’écran de verrouillage de smartphones Android pas chers aux États-Unis
Top téléchargements