Skip to main content

Se connecter via votre compte Apple, une faille de sécurité inquiétante ?

Apple
(Crédit photo: Pixabay)

 Une faille de sécurité critique dans le système de connexion d'Apple aurait pu permettre à des hackers connectés à distance de s'emparer de comptes d'utilisateurs ciblés sur des services et des applications tiers.

La fonctionnalité « Se connecter avec Apple », lancée lors du WWDC 2019, permet aux utilisateurs de s’identifier sur des applications et des sites web tiers via leur compte Apple. Cette option contribue également à protéger la vie privée des utilisateurs, qui n’ont plus à divulguer leur adresse électronique sur ce type d’applications et de sites.

Bhavuk Jain, chercheur indépendant en sécurité informatique, a découvert pour la première fois le bug relatif à la fonction « Se connecter » le mois dernier. Après avoir informé Apple de ce dernier, la firme de Cupertino lui aurait versé une rétribution de 100 000 dollars pour services rendus. Dans un billet de blog récent, M. Jain détaille à quel point cette vulnérabilité, désormais corrigée, aurait pu être dramatique :

« De nombreux développeurs ont intégré la fonction de connexion couplée avec Apple. Pour nommer quelques services utilisant cette connexion sociale, citons Dropbox, Spotify, Airbnb, Giphy (maintenant acquis par Facebook). Ces applications n'ont pas été testées mais auraient pu être vulnérables à une prise de contrôle complète du compte utilisateur Apple, si aucune autre mesure de vérification n’aurait été mise en place ».

Aucun abus constaté à ce jour

Le système de connexion Apple fonctionne de manière similaire à OAuth 2.0 et les utilisateurs peuvent être authentifiés soit par un jeton Web JSON (JWT), soit par un code généré par le serveur de l'entreprise qui génère ensuite un JWT.

Jain a découvert qu'il pouvait demander à Apple un JWT pour n'importe quel identifiant électronique et lorsque la signature de ses jetons a été vérifiée à l'aide de la clé publique d'Apple, ils se sont révélés valides. En conséquence, un pirate informatique pouvait concevoir un JWT en y associant n'importe quel identifiant, ce qui lui donnait accès aux comptes liés de la victime.

Après que Jain ait soumis ses conclusions à Apple, la société a mené une enquête sur ses journaux de connexion et a déterminé qu'il n'y avait pas eu d'abus ou de compromission de compte exploitant ladite faille de sécurité.

Via The Hacker News