Un chercheur en sécurité gagne 100 000 dollars pour la découverte d'une faille dans "Connexion avec Apple"

Apple a toujours avancé sa solution "Connexion avec Apple", comme le moyen le plus sûr et le plus sécurisé pour se connecter au service d'un développeur tiers. Cependant, ce n'est pas sans compter l'incroyable persévérance de Bhavuk Jain qui a cherché pendant de longues semaines une faille dans cette solution de connexion tant idéalisée par les équipes de Cupertino.

100 000 dollars de gain pour l'avoir remonté à Apple

Vous cherchez un bon apport pour un investissement immobilier ? Vous vous y connaissez dans la recherche des failles de sécurité ?
De nombreuses entreprises proposent de belles récompenses en échange d'une remontée de faille dans la sécurité d'un service.
C'est le cas d'Apple. L'entreprise a récompensé d'un chèque de 100 000 dollars le chercheur en sécurité Bhavuk Jain pour avoir découvert une grave vulnérabilité dans "Connexion avec Apple".
En effet, ce qu'a trouvé Bhavuk c'est que dès qu'une application iOS ne disposait pas de ses propres procédures de sécurité, une personne malveillante pouvait facilement falsifier un token associé à n'importe quel identifiant de courrier électronique. La vérification après passait comme une lettre à la poste, le système d'Apple ne détectait absolument rien d'anormal !

L'objectif d'exploiter cette faille était après de prendre un contrôle total du compte de l'utilisateur. La remontée de la faille s'est effectuée en avril 2020 et celle-ci a depuis été corrigée.
D'après Apple, il n'y a aucune preuve que des utilisateurs ont été victimes de l'exploitation de la faille. 
Pour rappel, les récompenses d'Apple en cas de remontée de faille de sécurité vont de 100 000 dollars à 1 million de dollars.
Toutes les informations sont à retrouver sur l'Apple Security Bounty.

Source