Le login universel d’Apple pose des risques de sécurité selon la fondation OpenID
Selon la fondation OpenID, Apple semble s'être largement basé sur le protocole OpenID Connect pour son «Sign in with Apple». Mais l'implémentation n’est pas complète et exposerait à des risques accrus en matière de sécurité et de protection de la vie privée.
En dévoilant récemment «Sign in with Apple», la firme de Cupertino a expliqué que ce login universel met l’accent sur la protection des données personnelles. Mais ce service serait néanmoins insuffisamment sécurisé, selon la fondation OpenID, qui fournit un système d’authentification décentralisé basée sur le protocole OAuth 2.0 et permettant l’authentification unique. Dans un lettre ouverte signée de son président Nat Sakimura, la fondation remarque qu’Apple s’est largement basé sur le protocole OpenID Connect pour son «Sign in with Apple», ou du moins a eu l'intention de le faire. Mais l'implémentation n’étant pas complète, le service d’Apple expose les utilisateurs à des risques accrus en matière de sécurité et de protection de la vie privée, prévient la fondation OpenID.
Cette absence de standardisation réduit aussi le nombre de services compatibles avec le login universel d’Apple et «impose un fardeau inutile aux développeurs d'OpenID Connect et de Sign in with Apple», précise la lettre ouverte. La fondation conseille à Apple de rendre son système totalement compatible avec les standards OpenID afin d’en améliorer l'interopérabilité et la sécurité. La firme de Cupertino est en outre invitée à déclarer publiquement que «Sign in with Apple» est compatible et interopérable avec OpenID Connect. OpenID suggère aussi à Apple de rejoindre la fondation, qui compte notamment parmi ses membres Google et Microsoft.
Prévu en bêta plus tard cette année, le login universel d’Apple met l’accent sur la privacy notamment en dissimulant aux développeurs tiers la véritable adresse email de l'utilisateur (remplacée par une adresse proxy aléatoire).
