Une faille de sécurité décelée dans le service Connexion avec Apple

Exploitée, la faille aurait pu permettre à une personne mal intentionnée d’accéder et d’avoir le contrôle total du compte d’un utilisateur.

Le service de connexion sécurisée d’Apple a présenté pendant un certain temps une vulnérabilité qui aurait pu avoir des lourdes conséquences si elle avait été exploitée. Connexion avec Apple présentait en effet une faille de sécurité qui aurait pu permettre à un hacker de prendre possession des comptes d’un utilisateur, c’est en tout cas la conclusion à laquelle est arrivé Bhavuk Jain, chercheur en cybersécurité. Une conclusion partagée par Apple puisque l’entreprise a offert une récompense de 100.000$ au chercheur dans le cadre de son programme bug bounty.

Le service de connexion d’Apple, lancé il y a un peu moins d’un an, offre la possibilité aux utilisateurs de se connecter à des applications et services tiers en préservant leur confidentialité. Or, en bref, le chercheur en cybersécurité Bhavuk Jain a découvert qu’il était possible de créer un jeton d’accès correspondant à n’importe quelle adresse mail liée à un compte Apple et de faire valider ce jeton avec la clé publique de la firme californienne pour accéder au compte souhaité.

Prévenu par le chercheur, Apple a mené son enquête et a confirmé la faille de sécurité au sein de Connexion avec Apple. La faille a depuis été comblée par l’entreprise américaine. Selon cette dernière, aucun cas de piratage d’un compte via Connexion avec Apple n’est à déplorer.