Six nouvelles failles trouvées dans le code de PayPal

25 février 2020 à 08h15
0
paypal-logo.jpg

Le service de paiement est en proie à plusieurs vulnérabilités repérées par les spécialistes de CyberNews. Certaines n'auraient pas été corrigées par l'entreprise américaine.

CyberNews a découvert six failles importantes au sein de PayPal. Tentant de signaler ces problèmes, les chercheurs du site n'ont pas vraiment été bien accueillis par les équipes du service de paiement basé à Palo Alto. Face au manque de collaboration et aux banales réponses des équipes de PayPal après les signalements, CyberNews a été contraint de passer par la plateforme HackerOne de la firme californienne, une sorte de programme permettant aux dénicheurs de bugs et de failles d'obtenir des primes (jusqu'à 30 000 dollars depuis mars 2018). Mais même sur cette dernière, CyberNews, reprochant à PayPal de ne pas prendre au sérieux les problèmes, a été zappé et a vu son score de réputation sérieusement diminuer, au point d'être considéré comme un spam.


Des failles majeures, comme le contournement de l'A2F ou de l'OTP

Après avoir analysé les applications mobiles de PayPal ainsi que l'interface web de la plateforme, les chercheurs de CyberNews ont décelé une première vulnérabilité, la plus grave au passage : celle du contournement de l'authentification à deux facteurs (A2F). L'équipe de recherche a en effet pu contourner le jeton d'identification permettant l'accès à un compte par un utilisateur se connectant depuis un nouvel appareil, un nouvel emplacement ou une nouvelle adresse IP. Le contournement ne prend que quelques minutes. Un problème que PayPal a ignoré dans sa réponse ! Pourtant, la faille permet un accès total au compte ciblé.

La seconde brèche consiste en l'ajout d'un téléphone à son compte sans passer par l'étape du OTP (one-time password), très populaire pour les comptes mails ou les applications bancaires. Ici, CyberNews a pu modifier l'appel à « ami-m.paypal.com », qui envoie la confirmation du téléphone, ce qui permet aux hackers de créer de faux comptes, sans avoir à recevoir le code de vérification par SMS.

La troisième faille, enfin, porte sur la mesure de sécurité qui se déclenche automatiquement en cas d'envoi d'argent via un nouvel appareil, une IP différente ou un compte tout récent. Ce blocage sécuritaire autonome est exposé aux attaques par force brute, qui permettent de craquer un mot de passe ou un nom d'utilisateur.


Un changement de nom impossible devenu possible

Passons à présent aux vulnérabilités un peu « moins grave ». La quatrième est liée à l'option qui permet aux utilisateurs de PayPal de modifier une à deux lettres de leur nom ou prénom. Au-delà, l'option de mise à jour du profil n'est plus disponible. Or, la brèche décelée par l'équipe de CyberNews permet de changer complètement les noms. « Tester IAmTester » est ainsi devenu « christin christina », et ce problème aurait déjà été signalé par un autre chercheur.

La cinquième vulnérabilité est une faille XSS contenue dans le chat d'auto-assistance de PayPal, SmartChat, qui permet aux utilisateurs du service de trouver les réponses aux questions les plus courantes. Cette brèche peut permettre à un cybercriminel d'obtenir des informations sensibles de l'utilisateur.

Enfin, la sixième faille est assez similaire à la précédente. Elle peut donner la possibilité au hacker d'injecter du code dans le compte d'une autre personne, pour récupérer ses données personnelles.

Source : CyberNews
Modifié le 25/02/2020 à 12h00
5
5
Partager l'article :
Voir tous les messages sur le forum

Les actualités récentes les plus commentées

Microsoft bloque la mise à jour de Windows 10 (mai 2020) sur de nombreux appareils
Pour le patron de Take Two (GTA, BioShock), Stadia est une déception
Microsoft licencie des dizaines de journalistes, remplacés par des robots
Le plus gros avion électrique de la planète a réussi son premier vol
Davantage d'animaux sauvages : la solution pour réconcilier éleveurs et loups ?
Citroën prépare une nouvelle berline hybride haut de gamme pour 2021
Sony reporte son événement dédié à la PS5 et soutient le mouvement de contestation en cours aux USA
La Poste déploie l'Identité Numérique, un service pour se connecter à 700 services avec un identifiant unique
Les employés de Facebook s'insurgent contre le refus de Zuckerberg de censurer les posts de Donald Trump
ITER : le premier élément du Tokamak est installé

Notre charte communautaire

  • 1. Participez aux discussions
  • 2. Partagez vos connaissances
  • 3. Échangez vos idées
  • 4. Faites preuve de tolérance
  • 5. Restez courtois
  • 6. Publiez des messages utiles
  • 7. Soignez votre écriture
  • 8. Respectez le cadre légal
  • 9. Ne faites pas de promotion
  • 10. Ne plagiez pas
  • Consultez la charte
scroll top