Ce bug dans PayPal permet à un hacker de manipuler les transactions

Alexandre Schmid
24 mai 2022 à 17h55
5
PayPal

Une faille de sécurité permet à des pirates de siphonner le compte PayPal des utilisateurs. Un seul clic, en apparence anodin, est requis pour autoriser un paiement non désiré.

Un chercheur en sécurité connu sous le nom de code de h4x0r_dz a découvert une vulnérabilité dans le service de transfert d'argent de PayPal.

Un simple clic mal visé peut déclencher un paiement

Selon lui, la faille de sécurité peut permettre à des pirates de recourir à une technique de clickjacking (détournement de clic) afin de détourner la vigilance de l'utilisateur. Celle-ci consiste à afficher un élément d'interface qui semble légitime dans une page web et qui incite à cliquer, comme une croix pour fermer une fenêtre par exemple. Superposer un bouton renvoyant vers un site malveillant sur un composant d'UI fiable est aussi un moyen de tromper les utilisateurs.

Dans le cas rendu public par h4x0r_dz, la victime peut autoriser un paiement en un seul clic malencontreux. Sur la page www.paypal.com/agreements/approve, qui fait figure de point de terminaison et a pour but d'obtenir les accords de facturation, seul le jeton billingAgreementToken devrait être accepté. Mais en réalité, un autre type de token peut être soumis, rendant possible le clickjacking.

PayPal n'aurait toujours pas corrigé la faille de sécurité

La vulnérabilité peut notamment être exploitée lorsque l'on veut effectuer un paiement sur un site tiers qui accepte PayPal comme moyen de transaction et renvoie donc vers la plateforme via un jeton d'authentification. Le danger existe aussi si vous êtes sur un navigateur web sur lequel vous être déjà connecté à votre compte PayPal.

L'expert en cybersécurité explique qu'il peut très bien exploiter cette faille de sécurité pour transférer de l'argent sur son propre compte PayPal, ou pour créer un compte Netflix en faisant payer une victime du piratage.

Il assure avoir contacté PayPal pour les prévenir de l'existence de cette vulnérabilité en octobre 2021, mais qu'elle n'a depuis ce temps toujours pas été comblée.

Sur le même sujet :
Le spyware Predator a infecté des smartphones Android en exploitant une faille 0-day

Source : The Hacker News

Alexandre Schmid

Alexandre Schmid

Gamer et tech enthusiast, j’ai fait de mes passions mon métier. Diplômé d’un Master en RNG sur Hearthstone. Rigole aux blagues d’Alexa.

Lire d'autres articles

Gamer et tech enthusiast, j’ai fait de mes passions mon métier. Diplômé d’un Master en RNG sur Hearthstone. Rigole aux blagues d’Alexa.

Lire d'autres articles
Vous êtes un utilisateur de Google Actualités ou de WhatsApp ? Suivez-nous pour ne rien rater de l'actu tech !
google-news

A découvrir en vidéo

Rejoignez la communauté Clubic S'inscrire

Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.

S'inscrire

Commentaires (5)

norwy
Bon, ce n’est pas tout le monde qui se fera avoir mais bon…<br /> Et pendant ce temps-là, que fait Paypal ???
Bombing_Basta
Et pendant ce temps-là, que fait Paypal ???<br /> Bah, ils encaissent les commissions pardi !
Senka
L’activation de la double authentification pour les paiements ne permettrait-elle pas de se prémunir de ce genre de fraude ?
ChezDebarras
Si je comprends bien, il faudra que le site marchand puisse afficher un lien frauduleux, qui contient un autre jeton que le jeton attendu ?<br /> Ca signifie donc que le site marchand est, soit malhonnête, soit victime d’un piratage interne.<br /> Cela étant dit, pas besoin d’attendre un piratage de site marchand : paypal propose déjà ce type de facilité en proposant aux sites marchands la fonction de prélèvement automatique : en clair (exemple aliexpress !) un site marchand peut, lors d’une première transaction paypal, activer cette fonction de prélèvement automatique. La victime…heu le client s’authentifie en toute confiance (mot de passe ou 2 facteurs) sur paypal, voit un truc bizarre « choisissez votre banque par défaut », puis procède au paiement.<br /> Plus tard, sur le même site marchand il va voir que cette fois, en choisissant paypal il n’aura même pas besoin de s’authentifier. Et c’est là qu’il découvre la notion de prélèvement automatique. Et qu’il se rend compte que le site marchand peut lui prélever à n’importe quel moment.
chris06
oui mais il n’y a pas si longtemps que cela que PayPal fait la double authentification , mais j’ai déjà fait des paiements d’achats et PayPal a accepté sans faire la double authentification notamment sur Amazon .
Voir tous les messages sur le forum

Top app & logiciels

Avast One
Avast One TÉLÉCHARGER
Opera
Opera TÉLÉCHARGER
Norton 360
Norton 360 TÉLÉCHARGER
CyberGhost VPN
CyberGhost VPN TÉLÉCHARGER
Bitdefender Total Security
Bitdefender Total Security TÉLÉCHARGER
Origin
Origin TÉLÉCHARGER
ChatGPT
ChatGPT TÉLÉCHARGER
WinRAR
WinRAR TÉLÉCHARGER
Paint.NET
Paint.NET TÉLÉCHARGER
Adobe Photoshop CC 2024
Adobe Photoshop CC 2024 TÉLÉCHARGER
Tous les logiciels
Haut de page

Sur le même sujet

Ce bug dans PayPal permet à un hacker de manipuler les transactions Ce bug dans PayPal permet à un hacker de manipuler les transactions
Alerte chez PrestaShop : cette faille 0-day permet de voler les informations de paiement des utilisateurs Alerte chez PrestaShop : cette faille 0-day permet de voler les informations de paiement des utilisateurs
Attention si vous utilisez ce plugin WordPress : mise à jour forcée pour 1 million de sites Attention si vous utilisez ce plugin WordPress : mise à jour forcée pour 1 million de sites
La plateforme NFT OpenSea traînée en justice à la suite d'un vol massif de fonds La plateforme NFT OpenSea traînée en justice à la suite d'un vol massif de fonds
Apple M1 : tout savoir sur Pacman Attack, cette vulnérabilité Apple M1 : tout savoir sur Pacman Attack, cette vulnérabilité "non patchable"