« Se connecter avec Apple » victime d’une faille simple mais critique

Bhavuk Jain l’annonçait il y a une dizaine de jours sur son Twitter : il avait trouvé une faille à 100 000 $.

https://twitter.com/bhavukjain1/status/1264398447718744065?ref_src=twsrc%5Etfw » rel= »nofollow

Sa découverte lui a effectivement valu cette récompense, de la part d’Apple.

Le montant est à la hauteur du risque que posait la vulnérabilité.
Elle permettait en l’occurrence de détourner le dispositif d’authentification « Se connecter avec Apple ». Et de cibler les applications qui en dépendent, afin de prendre la main sur des comptes d’utilisateurs. Le tout en connaissant simplement l’adresse e-mail associée.

Jetons pour tous

Dans les grandes lignes, « Se connecter avec Apple » repose sur des jetons créés à partir d’une adresse e-mail.
Il s’agit de celle de l’utilisateur s’il accepte de la communiquer à l’application à laquelle il souhaite se connecte. Sinon, Apple en crée une.

L’authentification repose sur des jetons générés à partir d’une adresse e-mail. Il s’agit de celle de l’utilisateur s’il accepte de la communiquer à l’application à laquelle il souhaite se connecter. Sinon, une adresse « relais » est créée.

Bhavuk Jain s’est aperçu qu’il pouvait demander la création d’un jeton pour toute adresse e-mail, associée ou non à un identifiant Apple. Et qu’à la vérification côté serveur, tous ces jetons étaient considérés comme valides.

Apple affirme ne pas avoir constaté d’exploitation de cette faille. Ses équipes ont tout de même avoir identifié des risques d’accès indésirables à iCloud, d’où la récompense accordée.

Certaines applications tierces ayant implémenté des mesures de sécurité supplémentaires étaient immunisées. Dropbox semble être dans ce cas.

Illustration principale © wk1003mike – shutterstock.com