Présentation de la fonctionnalité « Connexion avec Apple » au WWDC 2019. Photo: Apple

Introduite avec iOS 13, la fonctionnalité « Connexion avec Apple » permet aux utilisateurs de se connecter à des applications tierces en liant leur identifiant Apple, sans avoir à créer de compte sur les services en question, de la même manière que les modes de connexion unifiés mis en place depuis plusieurs années par Google et Facebook.

Exposée en 2019 lors de la conférence annuelle WWDC d’Apple (Apple Worldwide Developers Conference), la fonction « Connexion avec Apple » devait se présenter comme un moyen de connexion sécurisé et respectueux de la confidentialité des données des utilisateurs.

En avril 2020, le chercheur en sécurité indien Bhavuk Jain a identifié une faille de sécurité majeure dans cette fonctionnalité, au niveau de l’envoi des autorisations de connexion sur les serveurs d’Apple, qui vient de faire l’objet d’un correctif d’urgence (côté serveur) par la firme de Cupertino.

Cette faille aurait permis à un hacker mal intentionné de capter des données pendant ce transfert et de prendre la main sur les comptes Apple des utilisateurs.

Dans le cadre de son programme de bug bounty (chasse aux bugs), Apple a versé 100 000 dollars à Bhavuk Jain pour sa trouvaille, et l’intéressé a été autorisé à publier un billet sur son blog ce week-end, qui expose en détail le fonctionnement de cette faille.

De son côté, Apple a mené une investigation en interne et a constaté qu’aucun compte utilisateur n’avait été compromis avant la correction de cette faille.

Ce qui choque : Dans ses récentes communications, Apple joue la carte du respect de la confidentialité de ses utilisateurs et de la protection de leurs données. Il paraît tout à fait invraisemblable qu’une société aussi colossale n’ait pas été en mesure de conduire des tests et audits de sécurité avancés qui auraient pu mettre en avant cette grave vulnérabilité dans son système durant sa phase de développement.