Le nouveau système d’authentification d’Apple comporte de nombreuses failles de sécurité
Apple a dévoilé un nouveau système d’authentification en juin 2019. Ce dernier, selon la fondation OpenID, serait victime de plusieurs failles de sécurité.
C’est en effet la OpenID Foundation qui met évidence les multiples failles de sécurité dont est victime le nouveau système d’authentification de la marque à la Pomme. Nommée « Connexion avec Apple » cette nouvelle méthode d’authentification a été dévoilée par la marque lors de la dernière conférence WWDC en juin. Elle permet notamment de cacher les adresses e-mail des utilisateurs, ce qui est une bonne initiative de la part d’Apple.
Cependant, Nat Sakimura, le président de la fondation OpenID, a rédigé une lettre à l’intention de Craig Federighi, le vice prédisent de l’ingénierie logicielle d’Apple, dans laquelle il explique que la marque à la Pomme s’est fortement inspirée du standard d’OpenID pour créer son nouveau système d’authentification. Le problème est qu’en plus de ne pas l’avoir annoncé publiquement, Apple n’a pas repris l’intégralité des spécifications de ce standard, ce qui occasionne de multiples failles de sécurité.
Ainsi, la lettre du dirigeant d’OpenID souligne trois problèmes principaux qui rendrait possible des attaques par insertion de code ou encore de type « Cross Site Request Forgery Attack ». Ce n’est pas tout, puisque le document mis en ligne rapporte également une dizaine de bugs décelés dans le protocole de la marque à la Pomme.
Le président d’OpenID non satisfait de la situation, explique dans sa lettre : « Les différences actuelles entre OpenID Connect et Connexion avec Apple réduisent les cas où les utilisateurs peuvent utiliser Connexion avec Apple et les exposent à des risques plus importants en matière de sécurité et de confidentialité. Cela impose également un travail inutile aux développeurs d’OpenID Connect et de Connexion avec Apple ». Il exige également que la firme de Cupertino, en plus de résoudre les erreurs d’implantations, rejoigne la fondation OpenID.