\n
![](\"https:\/\/img.bfmtv.com\/i\/0\/0\/536\/323aec4991cdbce461ba9f8d7e6f3.jpg\")
<\/p>\n [ad_1]
\n<\/p>\n
D\u00e9voil\u00e9e lors de la pr\u00e9sentation d\u2019iOS 13, la fonction Connexion avec Apple\u00a0<\/em>permet aux utilisateurs de cr\u00e9er un compte et de s\u2019identifier sur n\u2019importe quel service de mani\u00e8re s\u00e9curis\u00e9e en utilisant leur identifiant Apple sans avoir \u00e0 fournir d\u2019adresse e-mail, ni de mot de passe.<\/p>\n Malheureusement, courant avril, Bhavuk Jain, un chercheur en s\u00e9curit\u00e9 a d\u00e9couvert une faille zero-day dans ce service.\u00a0<\/p>\n La br\u00e8che touchait principalement les applications tierces n\u2019ayant pas int\u00e9gr\u00e9 leurs propres mesures de s\u00e9curit\u00e9 additionnelle en utilisant la solution d\u2019Apple.<\/p>\n Pour faire simple, Connexion avec Apple<\/em> g\u00e9n\u00e8re \u00e0 la connexion un jeton d\u2019identification rattach\u00e9 \u00e0 l\u2019identifiant Apple utilis\u00e9. Ce jeton est ensuite envoy\u00e9 sur les serveurs d\u2019Apple et valid\u00e9 pour autoriser la connexion au service. Et c\u2019est au cours de ce processus qu\u2019un attaquant aurait pu profiter de la faille pour g\u00e9n\u00e9rer son propre jeton d\u2019authentification avec n\u2019importe quel identifiant Apple et le faire valider par les serveurs de Cupertino.<\/p>\n Si elle avait \u00e9t\u00e9 exploit\u00e9e, cette faille aurait permis \u00e0 un attaquant de prendre le contr\u00f4le de n\u2019importe quel compte Apple.<\/p>\n D\u00e9couverte en avril, la faille a \u00e9t\u00e9 depuis corrig\u00e9e par Apple, qui a r\u00e9compens\u00e9 le chercheur de la coquette somme de 100\u00a0000 dollars pour sa d\u00e9couverte, dans le cadre de son programme Bug Bounty.<\/p>\n \u00a0<\/span>\u00a0<\/span><\/p>\n Sources\u00a0: Engadget<\/a>, Bahvuk Jain<\/a><\/p>\n<\/p><\/div>\nUn bug pr\u00e9sent sur les applications mal s\u00e9curis\u00e9es<\/strong><\/h3>\n