Vous identifierez-vous bientôt avec votre Apple ID pour aller sur Amazon, Instagram ou Wordpress ? Les indices découverts dans le code de l'iOS 11.3 par Guilherme Rambo, un journaliste de 9to5mac.com, le laissent pour le moins penser.
Apple, nouveau fournisseur de données nominatives ?
La version 11.3 d'iOS n'est pas encore publique, mais les développeurs peuvent d'ores et déjà en avoir un aperçu via le beta qu'Apple a bien voulu diffuser. En fouillant dans le code, Guilherme Rambo a donc découvert un objet nommé SecureChannel, et qui servirait vraisemblablement à authentifier les utilisateurs sur des sites tiers grâce à leur Apple ID.Les lignes de codes relatives à cet objet suggèrent que les sites utilisant ce moyen d'authentification auront accès aux données iCloud de l'utilisateur. Impossible de savoir quelles données exactement, mais dans la mesure où Apple dispose des noms et prénoms vérifiés de ses clients (une carte bancaire étant nécessaire à l'activation d'un compte Apple), la firme pourrait bien mettre cette information à disposition des sites souhaitant connaître précisément l'identité de leurs membres (e-commerçants, par exemple). Une fonctionnalité de ce type existe déjà sur les Apple TV et s'appelle Single Sign-On, permettant un certain gain de temps.
Apple pourrait bien créer un système d'authentification 100 % maison
Mais le simple fait qu'Apple dispose de telle ou telle information ne fait pas automatiquement d'Apple ID un moyen d'authentification. Tout d'abord, les clients d'Apple doivent avoir donné leur consentement au partage de leurs informations avec des sites tiers. Cela peut par exemple prendre la forme d'une mise à jour des conditions d'utilisation, qu'on signerait électroniquement avec son code d'accès directement sur son iPhone ou iPad.Les sites qui accepteront Apple ID en tant que moyen d'authentification devront être équipés pour recevoir et surtout déchiffrer les informations personnelles qu'Apple leur transmettra (de manière chiffrée bien sûr). Quant au transfert de ces données, Apple pourrait très bien faire la liaison entre les deux lui-même... Même si ce n'est pas actuellement le cas du système leader dans ce domaine, OpenID Connect. Pour rappel, ce système se compose de la communauté des sites OpenID, dont tous acceptent ce moyen d'authentification, et d'OAuth, qui transfère les données lorsqu'un site formule une requête suite à une connexion de l'utilisateur.
- Comparatif sécurité : quel est le meilleur gestionnaire de mots de passe en 2020 ?
- Comment faire une signature électronique ?
- Apple : peu à peu, l'authentification forte arrive
- Double authentification : comment protéger son compte du piratage ?
- 5 règles pour créer un mot de passe sûr et introuvable… ou presque !
- Double authentification : comment protéger son compte du piratage ?