En avril 2009, la découverte d’une faille de sécurité dans le déroulement de l’authentification du protocole a démontré qu’un système conçu pour la protection des données personnelles comme OAuth n’était pas fiable à 100 %. Comme pour de nombreux autres systèmes de ce type, le phishing est un risque permanent : entre avril et mai 2017 par exemple, un million d’utilisateurs Gmail ont ainsi été victimes d’une attaque de phishing basée sur OAuth. Un Email fallacieux les invitait à donner leur autorisation via une interface factice afin de permettre à une application nommée « Google Apps » d’accéder à leurs données de compte.
Le développement de la nouvelle version OAuth2 devait donc non seulement faciliter l’implémentation de ce protocole de plus en plus complexe, mais aussi augmenter sa sécurité. En octobre 2012, les efforts réalisés dans ce cadre ont abouti à un résultat qui n’a toutefois pas reçu l’approbation des développeurs qui avaient contribué à la version initiale de OAuth. Eran Hammer-Lahav, le rédacteur principal de OAuth2, était le seul à avoir travaillé sur l’ancien OAuth et il ne tarda pas à prendre ses distances avec le nouveau projet, trois mois seulement après sa publication. Dans un article sur son blog hueniverse.com daté du 26 juillet 2012, il expliquait les raisons de cette décision et caractérisait OAuth 2.0 de « descente aux enfers » dans l’intitulé même de l’article.
Que s’était-il passé ? D'après E. Hammer-Lahav, le développement du nouveau protocole avait été déterminé par des débats constants entre les développeurs et les entreprises concernées (notamment Yahoo!, Google, Twitter, mais aussi la Deutsche Bank). Les points litigieux finissaient par être ignorés au profit, généralement, d’intérêts économiques. D’après E. Hammer-Lahav, le résultat est un protocole qui n’en porte aujourd’hui que le nom. En effet, plutôt que de représenter une norme strictement définie, OAuth2 est tout au plus un framework que l’on peut adapter et étendre à volonté. OAuth2 aurait ainsi perdu son interopérabilité, ce qui implique que différentes implémentations d’OAuth2 ne seraient pas nécessairement compatibles entre elles.
E. Hammer-Lahav regrette également que l’on ait opté pour une implémentation simplifiée (par exemple en abandonnant les signatures), ce qui entraînerait un défaut de sécurité. Pour pouvoir programmer une application sécurisée supportant OAuth2, les développeurs doivent faire preuve d’un grand niveau d’expertise. Il est donc probable que les applications peu sécurisées se multiplient sur Internet à l’avenir. D’après E. Hammer-Lahav, des erreurs d’implémentation seraient inévitables au vu des spécifications incomplètes et excessivement complexes.
Les craintes de E. Hammer-Lahav étaient fondées, tout du moins en partie : en 2016, un groupe de chercheurs de l’université de Trèves s’est penché pour la première fois sur la sécurité du protocole OAuth2 et a découvert deux failles de sécurité. L’une d’entre elles a permis des attaques de l’homme du milieu. Sur le principe, les chercheurs ont toutefois estimé que le protocole était relativement sécurisé à condition qu’il soit correctement mis en œuvre. Selon ses propres informations, l’équipe de OAuth2 a déjà corrigé ces points faibles. Pour de nombreux experts informatiques, le rapport de recherche a toutefois été l’occasion de se pencher davantage sur l’utilisation sécurisée de OAuth 2.0 dans des articles spécialisés.