« Se connecter avec Apple » : la fondation OpenID n’apprécie pas l’initiative
Le dispositif d’authentification « Se connecter avec Apple » déplaît à la fondation OpenID, dont Google et Microsoft sont membres.
Que pensent Google et Microsoft du bouton « Se connecter avec Apple » ?
Les deux groupes ne se sont pas officiellement exprimés à propos de ce dispositif d’authentification sur les sites web et les applications.
La fondation OpenID, dont ils sont membres, a au contraire haussé le ton. Jusqu’à adresser une lettre ouverte à Craig Federighi, vice-président d’Apple chargé de la stratégie logicielle.
Elle y affirme que « Se connecter avec Apple » se base sur son protocole OpenID Connect (lui-même fondé sur le framework OAuth 2.0), mais que l’implémentation n’est pas correcte.
Une quinzaine de points de friction sont recensés.
Quelques-uns posent, selon la fondation, des risques de sécurité. Par exemple la non-prise en charge de l’attribut max_age, qui permet de forcer une réauthentification après un certain temps. Ou encore l’absence de recours à un nonce (nombre arbitraire à usage unique), technique traditionnelle pour protéger contre les attaques par interception.
D’autres différences d’implémentation poseraient des problèmes de compatibilité avec les services qui utilisent OpenID Connect. Le recueil du consentement des utilisateurs ne serait pas ailleurs pas conforme dans certains cas.
Et la fondation d’inviter Apple à rejoindre ses rangs, tout en « déclarant publiquement » que son dispositif est « interopérable avec OpenID Connect ».
Orienté vie privée, « Se connecter avec Apple » engendre aussi des doutes chez les annonceurs. Ils y perçoivent un obstacle supplémentaire au suivi publicitaire.
Photo d’illustration © Apple