du 01 juillet 2019
Date

Choisir une autre édition

La fondation OpenID demande à Apple de corriger sa solution de login

Dans une lettre ouverte adressée à Craig Federighi, vice-président d’Apple en charge de l’ingénierie logicielle, la fondation OpenID félicite l’entreprise pour avoir « largement adopté » OpenID Connect pour son module de connexion Sign In with Apple, ou en tout cas « semble l’avoir fait ».

Mais des différences d’implémentation, résumées dans un document, créent plusieurs problèmes selon la fondation. Les utilisateurs seraient ainsi exposés à d’éventuels problèmes de sécurité et de vie privée. Un comble quand on connait la force avec laquelle Apple martèle désormais son orientation dans ce domaine.

Toujours selon la fondation, l’implémentation déplace inutilement un poids sur les épaules des développeurs, tant ceux de la solution Apple que d’OpenID. Elle invite donc l’entreprise à corriger ces écarts, ainsi que quelques démarches supplémentaires.

Elle aimerait ainsi qu’Apple se mette totalement en conformité avec le standard OpenID Connect, via trois actions très concrètes :

  • Utiliser la suite logicielle de certification pour améliorer l’interopérabilité entre les deux systèmes de connexion
  • Faire savoir publiquement que Sign In with Apple est compatible avec OpenID Connect
  • Rejoindre la fondation

On peut s’en douter, la fondation ne peut que lorgner sur un ajout de poids dans sa liste de membres, qui contient déjà plusieurs grands noms de l’industrie, dont Google, Microsoft et PayPal. Autant militer un peu pour sa paroisse.

Apple n’a pour l’instant pas réagi. L’entreprise n’a jamais évoqué la moindre reprise des spécifications OpenID, mais la fondation semble sûre de son fait après analyse du comportement de Sign In with Apple.

Rappelons que ce système de connexion doit combattre notamment les solutions de Facebook et Google, avec un angle très axé sur la vie privée. Aucune donnée n’est ainsi transmise à Apple ou à un partenaire.

« SIWA » sera par ailleurs imposé aux développeurs dès lors que leurs application proposeront au moins un système de connexion tiers, quel qu’il soit. En outre, les conditions d’Apple obligent à proposer SIWA en tête de liste.

La firme aurait cependant tout intérêt à accepter les demandes de la fondation OpenID. Son module gagnerait en visibilité en établissant une parenté avec un « standard » soutenu par une structure à but non lucratif et reposant massivement sur le protocole OAuth 2.0.

chargement Chargement des commentaires...