Une vulnérabilité dans le mécanisme d’authentification « Connexion avec Apple », lancé lors de la WWDC 2019, aurait pu permettre à des hackers de s’emparer de vos comptes tiers liés. Découverte par Bhavuk Jain, chercheur en sécurité basé en Inde, en avril dernier, Apple a depuis corrigé cette faille et, en reconnaissance de cette découverte, a attribué à Jain une récompense de 100 000 dollars pour le bug.
Les plateformes de connexion, dont celle d’Apple, protègent l’identité des utilisateurs en échangeant un jeton avec le service tiers au lieu de fournir un ensemble d’identifiants privés. Ce jeton est produit chaque fois que vous cliquez, dans le cas d’Apple, sur le bouton « Connexion avec Apple », et permet à la tierce partie de vous authentifier en le faisant passer par la base de données d’Apple.
Le bug que Bhavuk a rencontré a affecté la manière dont le service d’authentification d’Apple a confirmé qui demandait ce jeton lors d’une session. Alors que le service « Connexion avec Apple » nécessitait un compte Apple valide pour fonctionner, il ne vérifiait pas si ce même compte était celui qui demandait un jeton. Par conséquent, quel que soit le compte Apple lié à l’appareil, Bhavuk a pu récupérer un jeton pour n’importe quel Apple ID et l’utiliser pour s’emparer illicitement de son compte tiers connecté.
Même si le compte Apple de la victime n’a pas été compromis, puisque cela n’a jamais été révélé directement au cours du processus, cette faille aurait pu permettre à des intrus de se connecter à n’importe quelle application de connexion au compte Apple. Il convient également de noter que le bug n’aurait été préjudiciable que lorsque le service tiers lui-même ne disposait pas de protections supplémentaires en matière de protection de la vie privée.
« L’impact de cette vulnérabilité était assez critique, car elle aurait pu permettre la prise en charge complète du compte. De nombreux développeurs ont intégré la fonction Connexion avec Apple, car elle est obligatoire pour les applications qui prennent en charge d’autres connexions sociales. Pour en nommer quelques-uns qui utilisent la Connexion avec Apple — Dropbox, Spotify, Airbnb, Giphy (maintenant acquis par Facebook). Ces applications n’ont pas été testées, mais auraient pu être vulnérables à une prise de contrôle complète du compte s’il n’y avait pas d’autres mesures de sécurité en place lors de la vérification d’un utilisateur », a écrit Bhavuk dans un article de blog.
Pas de dommage majeur ?
Apple a déclaré à Bhavuk, après avoir enquêté sur ses journaux internes, « qu’il n’y a pas eu d’abus ou de compromission de compte en raison de cette vulnérabilité ».
Lancé il y a environ un an, Apple a centré son service de connexion sur l’idée d’une expérience de connexion plus privée et plus sûre. Il a été adopté par un certain nombre de développeurs et de sociétés, dont Airbnb, Dropbox, Adobe, TikTok, et bien d’autres. On ignore combien de temps cette vulnérabilité a été laissée en suspens et quelle serait l’étendue de ses effets sur la confiance des premiers utilisateurs dans le service d’identification.