Apple a récemment corrigé une faille de sécurité qui affectait le service Connexion avec Apple, qui permet de se connecter dans les applications en tout anonymat, aux côtés des systèmes d’identification de Google, Facebook et autres. Au mois d’avril, le chercheur en sécurité Bhavuk Jain a prévenu le constructeur de la présence d’une vulnérabilité qui, exploitée par un malandrin, aurait pu lui permettre de prendre possession du compte de l’utilisateur.

Bhavuk Jain donne toutes les explications techniques sur son blog. Connexion avec Apple utilise soit un JWT (token web JSON), soit un code généré par le serveur du constructeur ; celui-ci est utilisé pour générer en retour un token JSON. Après cette opération, le système propose à l’utilisateur la possibilité de partager l’adresse e-mail de son compte Apple ID avec l’application, ou de la cacher derrière une adresse aléatoire.

Il se trouve qu’un brigand était en mesure de créer un JWT avec l’e-mail de l’identifiant, et obtenir ainsi un accès au compte de la victime (pour peu que le filou dispose de l’adresse e-mail en question). Plutôt embarrassant, mais Apple a mené son enquête et a constaté qu’aucun compte n’avait été compromis avant que la faille ne soit bouchée. Le chercheur a été récompensé de sa découverte : il a décroché 100 000 $ du programme de « bug bounty » récemment lancé par le constructeur.