Passer au contenu

Le nouveau système d’authentification d’Apple serait bancal selon OpenID

La fondation OpenID reproche à Apple de s’être largement inspiré de son standard, sans toutefois l’implémenter totalement. Ce qui ouvre la porte à un certain nombre de failles de sécurité.

Avec son nouveau service « Connexion avec Apple », qui a été présenté en juin dernier lors de la conférence WWDC, la firme de Cupertino joue une nouvelle fois la carte de la protection des données personnelles. Contrairement aux systèmes d’authentification de Facebook et Google, celui d’Apple va masquer les adresses e-mail des utilisateurs et, par conséquent, préserver leur vie privée. C’est une bonne idée.

Ce qui est moins bien, en revanche, c’est qu’Apple a visiblement lésiné sur la sécurité informatique de sa solution. C’est en tous les cas ce que pense Nat Sakimura, président de la fondation OpenID. Celle-ci est responsable du développement du standard d’authentification éponyme, largement utilisé dans l’industrie du web. Dans une lettre adressée à Craig Federighi, vice-président de l’ingénierie logicielle, le président constate qu’Apple s’est largement inspiré de ce standard pour créer son système d’authentification… sans toutefois le dire publiquement et, surtout, sans implémenter la totalité des spécifications. Résultat : Connexion avec Apple présenterait d’ores et déjà plusieurs failles de sécurité.

Des attaques et des bugs

Ainsi, dans un document en ligne, la fondation a listé trois erreurs d’implémentation qui permettraient à un attaquant de réaliser des attaques par insertion de code ou de type « Cross Site Request Forgery Attack ». Une quatrième erreur d’implémentation diminuerait par ailleurs la protection des données personnelles, ce qui est un comble. La fondation profite de ce document pour également lister, en bon samaritain, une petite dizaine de bugs trouvés dans le protocole d’Apple.

Nat Sakimura estime que cette situation n’est pas satisfaisante. « Les différences actuelles entre OpenID Connect et Connexion avec Apple réduisent les cas où les utilisateurs peuvent utiliser Connexion avec Apple et les exposent à des risques plus importants en matière de sécurité et de confidentialité. Cela impose également un travail inutile aux développeurs d’OpenID Connect et de Connexion avec Apple », écrit-il. Dans la fin de sa lettre, il exhorte Apple non seulement de corriger ces erreurs d’implémentations, mais aussi de rejoindre officiellement la fondation OpenID. Mais c’est probablement un vœu pieux. Par le passé, Apple ne s’est jamais montré très intéressé par les jeux collectifs.

Source: Lettre de Nat Sakimura (via ZDnet)

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.


Gilbert KALLENBORN