Freezone S'inscrire

Le nouveau système d’authentification d’Apple comporte de nombreuses failles de sécurité

Apple a dévoilé un nouveau système d’authentification en juin 2019. Ce dernier, selon la fondation OpenID, serait victime de plusieurs failles de sécurité.

C’est en effet la OpenID Foundation qui met évidence les multiples failles de sécurité dont est victime le nouveau système d’authentification de la marque à la Pomme. Nommée « Connexion avec Apple » cette nouvelle méthode d’authentification a été dévoilée par la marque lors de la dernière conférence WWDC en juin. Elle permet notamment de cacher les adresses e-mail des utilisateurs, ce qui est une bonne initiative de la part d’Apple.

Cependant, Nat Sakimura, le président de la fondation OpenID, a rédigé une lettre à l’intention de Craig Federighi, le vice prédisent de l’ingénierie logicielle d’Apple, dans laquelle il explique que la marque à la Pomme s’est fortement inspirée du standard d’OpenID pour créer son nouveau système d’authentification. Le problème est qu’en plus de ne pas l’avoir annoncé publiquement, Apple n’a pas repris l’intégralité des spécifications de ce standard, ce qui occasionne de multiples failles de sécurité.

Ainsi, la lettre du dirigeant d’OpenID souligne trois problèmes principaux qui rendrait possible des attaques par insertion de code ou encore de type « Cross Site Request Forgery Attack ». Ce n’est pas tout, puisque le document mis en ligne rapporte également une dizaine de bugs décelés dans le protocole de la marque à la Pomme.

Le président d’OpenID non satisfait de la situation, explique dans sa lettre : « Les différences actuelles entre OpenID Connect et Connexion avec Apple réduisent les cas où les utilisateurs peuvent utiliser Connexion avec Apple et les exposent à des risques plus importants en matière de sécurité et de confidentialité. Cela impose également un travail inutile aux développeurs d’OpenID Connect et de Connexion avec Apple ». Il exige également que la firme de Cupertino, en plus de résoudre les erreurs d’implantations, rejoigne la fondation OpenID.

Publié le par
Partager sur Google + Partager sur Twitter Partager sur Facebook Alertes mail Partager
COMMENTAIRES DES LECTEURS (10)
Afficher les 5 premiers commentaires...
Posté le 08 juillet 2019 à 22h05 Citer le commentaireSignaler le commentaireRemonter en haut de pageDescendre en bas de pagePartager ce commentaire sur Twitter Voter plus un Voter moins un

Ce qui dommage c'est qu'il n'est pas fait mention du fait que ce nouveau système n'est pas encore sorti. Il est donc en version bêta et ça a peut être son importance.

Et ça ne choque personne que la source soit le président de la fondation OpenID, la même fondation qui se sente laisée...

Attendre de voir ce que sera la version finale est peut-être une bonne idée non ?!

Posté le 08 juillet 2019 à 22h46 Citer le commentaireSignaler le commentaireRemonter en haut de pageDescendre en bas de pagePartager ce commentaire sur Twitter Voter plus un Voter moins un
Kinoo a écrit
Ce qui dommage c'est qu'il n'est pas fait mention du fait que ce nouveau système n'est pas encore sorti. Il est donc en version bêta et ça a peut être son importance. Et ça ne choque personne que la source soit le président de la fondation OpenID, la même fondation qui se sente laisée... Attendre de voir ce que sera la version finale est peut-être une bonne idée non ?!

Sorti ou pas, bêta ou pas, en matière de sécurité je préfère que quelqu'un de bien informé (et ça semble être le cas du Pdt de la Fondation OpenID) signale des manquements à Apple qui semble avoir oublié de fermer quelques portes à clé, et ce avant qu'il soit trop tard.

C'est une attitude responsable. Et ça n'a rien à voir avec le principe de précaution.

Voyons à présent le temps de réaction d'Apple, ses explications, et ses correctifs.

Posté le 08 juillet 2019 à 22h58 Citer le commentaireSignaler le commentaireRemonter en haut de pageDescendre en bas de pagePartager ce commentaire sur Twitter Voter plus un Voter moins un
Allan a écrit
Bysoft a écrit Tiens je croyais que les produits Apple étaient surs Et si j'ai bien compris sans rien dire ont plus ou moins copié le système OpenID de mieux en mieux.... C'est juste que OpenID veut que Apple paie pour leur certification.

La certification n'est pas obligatoire je te signale, et non c'est pas une histoire de faire payer la certification, c'est une histoire qu'en prenant OpenID en base en ne prenant qu'une partie du protocole, ils ont laissés des failles de sécurités et c'est pas normal. Donc soit ils utilisent pleinement OpenID et donc le protocole OATH 2.0, soit ils développent leur truc point barre.

Je te signale que pour utiliser OpenID, pas besoin de payer quoi que se soit, moi même en tan que développeur je peux sur mon site personnel utiliser cette technologie et ce gratuitement ET légalement. Ce qui est payant c'est apposé le logo "certified by OpenID" c'est tout.

Bysoft a écrit
Tiens je croyais que les produits Apple étaient surs Et si j'ai bien compris sans rien dire ont plus ou moins copié le système OpenID de mieux en mieux....

Copier est un grand mot, mais effectivement ils s'attribuent le mérite alors qu'ils ont une base OpenID mais en moins bien.

Avatar du membre
J-Loo
Envoyer message
 
6154 points
Posté le 09 juillet 2019 à 09h45 Citer le commentaireSignaler le commentaireRemonter en haut de pageDescendre en bas de pagePartager ce commentaire sur Twitter Voter plus un Voter moins un

Déjà, cette news date de fin juin (la lettre est datée du 27 juin)..

Bysoft a écrit
Tiens je croyais que les produits Apple étaient surs..

Parler pour ne rien dire.. la période d'essai n'a même pas encore commencée puisqu'elle est prévue à la fin de l'été avec iOS 13.

Bysoft a écrit
Tout faux (ah lorsqu'on veux défendre Apple envers et contre tout !)

Un peu l'inverse de tes posts où tu dénigres Apple « envers et contre tout »..

Posté le 19 juillet 2019 à 20h21 Citer le commentaireSignaler le commentaireRemonter en haut de pageDescendre en bas de pagePartager ce commentaire sur Twitter Voter plus un Voter moins un

À bon ??? 

RUBRIQUE COMMENTAIRE
Bonjour, avant de poster, veuillez vous assurer d'avoir pris connaissance des règles.

X

Quatre consignes avant de réagir :

  • Rester dans le cadre de l'article. Pour des discussions plus générales, vous pouvez utiliser nos forums.
  • Développer son argumentation. Les messages dont le seul but est de mettre de l'huile sur le feu seront modifiés ou effacés sans préavis par la rédaction.
  • Respecter les acteurs de l'informatique et les autres lecteurs. Les messages agressifs, vulgaires, haineux, etc. seront modifiés ou effacés sans préavis par la rédaction.
  • Pour toute remarque concernant une faute dans l'article, merci de nous contacter exclusivement par le formulaire "signaler une erreur" lors de la sélection du texte de l'article (les commentaires portants sur ce sujet seront systématiquement supprimés).

Vous devez créer un compte Freezone et être connecté afin de pouvoir poster un commentaire.

Si vous attendiez une évolution de la boutique Free Mobile, ce serait :
Image vide