Les failles de sécurité sont la hantise des sociétés high tech. Elles permettent aux hackers de pénétrer dans leur système, de les pirater ou de voler les données du client. Pour cette raison, elles sont prêtes à débourser des sommes folles.
Une faille dans la fonction d’authentification
En avril dernier, un expert en sécurité a remarqué une faille dans le Sign In With Apple. Il a donc prévenu la marque à la pomme afin d’empêcher les potentiels vols de données.
Le problème se situe au niveau de la deuxième étape de l’identification, l’utilisateur d’Apple a le choix de partager ou non son identifiant de messagerie avec une application tierce.
Lors de l’échange d’informations avec l’application tierce, le téléphone génère un token, un JSON Web Token, pour transmettre en toute sécurité les données. Or, celui-ci n’était pas vérifié rétro-activement.
Un hacker peut dès lors utiliser un e-mail d’identification de sa victime pour créer des tokens valides et avoir accès à ses données. Et ce, en particulier avec les applications qui n’utilisent pas de mesures de sécurité propres et se reposent sur les systèmes mis en place par Apple.
Pour qui utilise des applications payantes, cela devient compromettant. Les exemples sont nombreux, et il suffit de citer Spotify comme exemple critique.
L’alerte lancée par l’expert en sécurité a permis à Apple de régler ce problème et d’ajouter une étape de vérification supplémentaire dans son processus. Et comme tout travail mérite salaire, Apple a offert un chèque de 100.000 dollars pour cette information cruciale.
Ce n’est d’ailleurs pas la seule entreprise à avoir recours à ce genre de prime. D’autres sociétés de la Silicon Valley, comme Facebook et Google y ont également fréquemment recours.