La fondation OpenID attire aujourd'hui la lumière sur le nouveau système d'authentification d'Apple et pour cause : ce dernier s'est "inspiré" du standard OpenID mais sans toutefois intégrer l'ensemble de ses fonctionnalités.

iPhone 11 rendu 02

Présenté lors de la dernière WWDC, le système met en avant la protection des données personnelles et permettra de masquer les adresses e-mail des utilisateurs. En somme, c'est ce que propose déjà OpenID, sauf qu'Apple s'est limité à ne reprendre que quelques parties du protocole. Nat Sakimura, président de la fondation OpenID regrette ainsi qu'Apple ne soit pas allé jusqu'au bout de la démarche et note que cette intégration incomplète ouvre la porte à de nombreuses failles de sécurité.

La fondation rapporte ainsi trois erreurs principales d'implémentation qui permettraient d'organiser des attaques de type "Cross Site Request Forgery Attack", une autre faille entrainerait également une diminution de la protection des données et au total ce sont une dizaine de bugs qui ont été repérés.

Apple est ainsi invité à corriger sa copie et à rejoindre officiellement la fondation OpenID, cette dernière option étant peu probable.