Apple a annoncé avoir bouché une faille de sécurité qui était présente sur son Apple Store en ligne. Celle-ci concernait seulement les clients américains.

La faille de sécurité, découverte par les chercheurs en sécurité Phobia et Nicholas Ceraolo, se situe au niveau du code PIN. Aux États-Unis, les opérateurs mettent en place ce type de code qui permet de se connecter à l’espace client et ainsi avoir accès aux données d’un compte. Le site d’Apple permettait d’obtenir ce fameux code PIN pour les clients de l’opérateur T-Mobile.

Au moment de passer la commande d’un iPhone sur l’Apple Store ligne, Apple demande aux clients américains de se connecter avec les identifiants fournis par leur opérateur afin de rattacher la SIM au smartphone. Dans le cas de T-Mobile, il suffisait de faire une attaque de type brute force au moment où le code PIN était demandé parce que le site d’Apple n’imposait aucune limite. Par conséquent, le code était trouvé au bout d’un moment. La même opération n’était pas possible chez les autres opérateurs parce qu’il y a un message d’erreur après plusieurs tentatives loupées.

Il semblerait que le fautif soit Apple ici parce qu’il n’a pas mis en place le blocage pour les commandes de T-Mobile. Le constructeur n’a en tout cas pas fait de commentaire particulier à BuzzFeed, si ce n’est qu’il est très reconnaissant envers les chercheurs en sécurité.