Pour gérer vos consentements :

« Se connecter avec Apple » victime d’une faille simple mais critique

Bhavuk Jain l’annonçait il y a une dizaine de jours sur son Twitter : il avait trouvé une faille à 100 000 $.

https://twitter.com/bhavukjain1/status/1264398447718744065?ref_src=twsrc%5Etfw » rel= »nofollow

Sa découverte lui a effectivement valu cette récompense, de la part d’Apple.

Le montant est à la hauteur du risque que posait la vulnérabilité.
Elle permettait en l’occurrence de détourner le dispositif d’authentification « Se connecter avec Apple ». Et de cibler les applications qui en dépendent, afin de prendre la main sur des comptes d’utilisateurs. Le tout en connaissant simplement l’adresse e-mail associée.

Jetons pour tous

Dans les grandes lignes, « Se connecter avec Apple » repose sur des jetons créés à partir d’une adresse e-mail.
Il s’agit de celle de l’utilisateur s’il accepte de la communiquer à l’application à laquelle il souhaite se connecte. Sinon, Apple en crée une.

L’authentification repose sur des jetons générés à partir d’une adresse e-mail. Il s’agit de celle de l’utilisateur s’il accepte de la communiquer à l’application à laquelle il souhaite se connecter. Sinon, une adresse « relais » est créée.

Bhavuk Jain s’est aperçu qu’il pouvait demander la création d’un jeton pour toute adresse e-mail, associée ou non à un identifiant Apple. Et qu’à la vérification côté serveur, tous ces jetons étaient considérés comme valides.

Apple affirme ne pas avoir constaté d’exploitation de cette faille. Ses équipes ont tout de même avoir identifié des risques d’accès indésirables à iCloud, d’où la récompense accordée.

Certaines applications tierces ayant implémenté des mesures de sécurité supplémentaires étaient immunisées. Dropbox semble être dans ce cas.

Illustration principale © wk1003mike – shutterstock.com

Recent Posts

Étude Trends of IT 2024 : comprendre les mutations de l’environnement IT

Silicon et KPMG lancent Trends of IT 2024, une étude co-construite avec les managers IT…

7 heures ago

Guillaume Poupard, DGA de Docaposte : « Le plus de l’offre, c’est notre position comme acteur de confiance »

Avec son Pack cybersécurité lancé au Forum InCyber 2024, Docaposte tend une perche aux PME.…

7 heures ago

Quels impacts de l’IA générative sur le monde de la cybersécurité ? : regards croisés entre Onepoint, Wavestone et Fortinet

Quels sont les impacts immédiats de l'IA générative sur la cybersécurité ? Comment le contexte…

11 heures ago

Des serveurs IA cyberattaqués : le vecteur s’appelle Ray

Un éditeur attire l'attention sur des attaques exploitant l'absence d'autorisation dans une API du framework…

14 heures ago

Amazon débloque la deuxième tranche de son investissement dans Anthropic

Après un premier financement en septembre 2023, Amazon a débloquer le reste de l'enveloppe qu'il…

16 heures ago

Les logiciels libres entrés au SILL au premier trimestre 2024

D'Alpine Linux à XPipe, voic les dernières entrées au SILL (Socle interministériel de logiciels libres).

1 jour ago