Menu
Donnez votre avis

Le système d'authentification d'Apple ne serait pas fiable

Hervé Didier - mardi 9 juillet 2019 - 11:41
Le système d'authentification d'Apple ne serait pas fiable
Une lettre ouverte de la fondation OpenID met en garde contre le manque de fiabilité du nouveau système d'authentification "Connexion avec Apple" présenté lors de la dernière conférence WWDC.

(CCM) — Malgré d'intéressantes promesses en matière de protection des données personnelles, le futur système "Connexion avec Apple" pourrait se révéler dangereux pour la sécurité de ses utilisateurs. C'est en tout cas la mise en garde lancée par le président de la fondation OpenID dans une lettre ouverte (lien en anglais). Nat Sakimura pointe plusieurs failles de sécurité dans le service d'authentification qu'Apple a présenté en juin.

Dans la liste des bugs repérés par les experts d'OpenID dans le protocole d’Apple, on note plusieurs failles de sécurité critiques. Les plus sérieuses seraient sans doute la possibilité pour des pirates de lancer des attaques par injection de requêtes illégitimes (Cross Site Request Forgery) ou par injection de code malveillant. La fondation affirme également que les données personnelles des utilisateurs seront moins bien protégées par "Connexion avec Apple" que par son propre système "OpenID Connect".

Nat Sakimura affirme que ce manque de fiabilité vient du fait qu'Apple n'a pas appliqué l'intégralité des spécifications techniques d'OpenID Connect. En choisissant de s'appuyer sur ce standard, Apple est en mesure de se démarquer des systèmes actuels de Google et Facebook, par exemple en garantissant la confidentialité de l'adresse mail de l'utilisateur. Mais en l'allant pas jusqu'au bout de la démarche et en voulant développer son propre système propriétaire "Connexion avec Apple", l'entreprise a pris le risque d'introduire des failles de sécurité. En conclusion de sa lettre ouverte, la fondation demande à Apple de corriger sans attendre les failles listées, ou de purement et simplement rejoindre le standard OpenID.

Photo : © Mingman Srilakorn - 123RF.com
Ajouter un commentaire

Commentaire

Commenter la réponse de Utilisateur anonyme