Au mois d’avril 2020, Bhavuk Jain, chercheur en cybersécurité, a découvert l’existence d’une faille de sécurité critique au sein de la fonctionnalité d’identification Connexion avec Apple“, qui a été introduite sur iOS 13. Pour le récompenser de cette découverte, Apple lui a reversé la somme de 100 000 dollars.

Une faille critique dans la fonctionnalité “Connexion avec Apple”

Lancé en septembre 2019, iOS 13 a apporté avec lui la fonctionnalité “Connexion avec Apple”. À l’instar des services d’identification de Facebook ou Google, celle-ci permet aux utilisateurs de s’inscrire et de se connecter à des applications tierces à travers leur identifiant Apple, sans avoir à rentrer d’adresse mail, de mot de passe, ou tout autre type d’informations personnelles. L’objectif était alors de renforcer la protection des données personnelles des utilisateurs.

Seulement voilà, Bhavuk Jain, expert en cybersécurité, a découvert une faille de sécurité critique au sein même de cette fonctionnalité. D’abord signalée au mois d’avril à Apple qui l’a rapidement corrigée, cette vulnérabilité est aujourd’hui publiquement dévoilée sur le blog du chercheur. Dans son article, l’homme explique :

“Au mois d’avril, j’ai découvert une faille “zero-day” dans la fonctionnalité “Connexion avec Apple”, qui affectait les applications tierces qui l’utilisaient et qui n’intégraient pas leurs propres mesures de sécurité en supplément. Ce bug aurait pu entraîner une prise de contrôle totale des comptes utilisateurs de cette application tierce, que la victime possède un identifiant Apple valide ou non.”

Plus précisément, Bhavuk Jain a découvert qu’à travers “Connexion avec Apple”, il était “en mesure de demander des JSON Web Token (une méthode sécurisée d’échanges d’informations entre plusieurs parties, NDLR) pour n’importe quelle adresse mail Apple et qu’une fois vérifiés, ces tokens se sont révélés valides”. Cela signifie qu’une personne mal intentionnée aurait pu facilement accéder aux comptes sur des applications tierces de n’importe quels utilisateurs et en prendre le contrôle total.

100 000 dollars de récompense dans le cadre du programme Bug Bounty

Une fois prévenu de cette faille de sécurité, Apple s’est rapidement attelé à la corriger. Dans le même temps, la firme à la pomme a mené une enquête pour savoir si cette vulnérabilité avait été exploitée. Heureusement, il semblerait qu’aucun hacker n’y est eut recours et que, par conséquent, aucun utilisateur n’en ait été victime.

Pour remercier Bhavuk Jain de sa découverte, Apple lui a reversé la somme de 100 000 dollars. Une récompense qui s’inscrit dans le cadre du programme Bug Bounty lancé en décembre 2019 par la marque à la pomme. Pour rappel, ce programme permet aux chercheurs en cybersécurité de révéler de potentiels bugs sur l’ensemble des appareils de la firme, moyennant une rémunération plus ou moins conséquente en fonction de l’importance de la faille découverte. Des récompenses qui peuvent s’élever à 1 million de dollars, rien que ça.