BFM Business

Un développeur reçoit 100.000 dollars pour avoir découvert une faille dans l'outil "connexion avec Apple"

-

- - Apple

Le développeur Bhavuk Jain a découvert une faille dans l'outil "connexion avec Apple", qui permettait à des tiers de dérober l'identifiant Apple de l'utilisateur. Il a reçu 100.000 dollars de prime.

Comme la plupart des entreprises du secteur, Apple dispose d’un programme “bug bounty” (prime au bug), qui récompense les chercheurs de bugs et de failles de sécurité sur ses produits. Le géant vient d’en faire profiter un développeur à l’origine de la découverte d’une faille sur la fonction “sign in with Apple”, ou “connexion avec Apple”. Elle permet de se connecter à plusieurs services en utilisant son adresse mail Apple, ou un identifiant généré aléatoirement, afin de limiter le partage de données personnelles. 

Le développeur à l’origine de la découverte, Bhavuk Jain, a reçu 100.000 dollars de récompense par Apple, selon le média américain Gizmodo. La prime allouée par l’entreprise peut s’étirer jusqu’à un million de dollars en cas de découverte d’une faille majeure.

La faille de sécurité sur l’outil “connexion avec Apple” aurait permis à des personnes malveillantes de prendre le contrôle du compte de l’utilisateur. Même quand les utilisateurs choisissaient de ne pas partager leur identifiant Apple avec le service tiers, une manipulation permettait de l’obtenir. Permettant, en théorie, de prendre le contrôle du compte ou bien d’en créer un autre. Le service “connexion avec Apple” est proposé sur de nombreux sites comme Airbnb, Dropbox ou Spotify. L’entreprise a depuis patché la faille de sécurité. 

https://twitter.com/Pauline_Dum Pauline Dumonteil Journaliste BFM Tech