Apple ID: une faille comblée dans l'urgence
Hier, pendant quelques heures le système permettant de réinitialiser les mots de passe des comptes Apple a été inaccesslble.
Cela a fait suite à une découverte faite par The Verge d'une faille permettant de récupérer un nouveau mot de passe en connaissant uniquement l'adresse mail d'un utilisateur et sa date de naissance. Or, à une époque où tout ou presque est rendu public sur les réseaux sociaux, ces deux données ne sont pas le moins du monde confidentielles.
La faille était liée à l'utilisation d'une URL spécialement formatée qui permettait de contourner toutes les premières étapes de validation de la demande de changement de mot de passe. En résumé, Apple avait une URL fixe une fois les personnes authentifiées dans laquelle il suffisait de modifier certaines séquences pour passer sans difficultés.
La réponse de la société a été très prompte. A peine le problème annoncé (mais pas dévoilé dans le détail), la société a fermé ses serveurs permettant de restaurer un mot de passe et les a mis à jour, réglant le problème, avant de les remettre en ligne.