Six nouvelles failles trouvées dans le code de PayPal

Le service de paiement est en proie à plusieurs vulnérabilités repérées par les spécialistes de CyberNews. Certaines n'auraient pas été corrigées par l'entreprise américaine.

CyberNews a découvert six failles importantes au sein de PayPal. Tentant de signaler ces problèmes, les chercheurs du site n'ont pas vraiment été bien accueillis par les équipes du service de paiement basé à Palo Alto. Face au manque de collaboration et aux banales réponses des équipes de PayPal après les signalements, CyberNews a été contraint de passer par la plateforme HackerOne de la firme californienne, une sorte de programme permettant aux dénicheurs de bugs et de failles d'obtenir des primes (jusqu'à 30 000 dollars depuis mars 2018). Mais même sur cette dernière, CyberNews, reprochant à PayPal de ne pas prendre au sérieux les problèmes, a été zappé et a vu son score de réputation sérieusement diminuer, au point d'être considéré comme un spam.

Des failles majeures, comme le contournement de l'A2F ou de l'OTP

Après avoir analysé les applications mobiles de PayPal ainsi que l'interface web de la plateforme, les chercheurs de CyberNews ont décelé une première vulnérabilité, la plus grave au passage : celle du contournement de l'authentification à deux facteurs (A2F). L'équipe de recherche a en effet pu contourner le jeton d'identification permettant l'accès à un compte par un utilisateur se connectant depuis un nouvel appareil, un nouvel emplacement ou une nouvelle adresse IP. Le contournement ne prend que quelques minutes. Un problème que PayPal a ignoré dans sa réponse ! Pourtant, la faille permet un accès total au compte ciblé.

La seconde brèche consiste en l'ajout d'un téléphone à son compte sans passer par l'étape du OTP (one-time password), très populaire pour les comptes mails ou les applications bancaires. Ici, CyberNews a pu modifier l'appel à « ami-m.paypal.com », qui envoie la confirmation du téléphone, ce qui permet aux hackers de créer de faux comptes, sans avoir à recevoir le code de vérification par SMS.

La troisième faille, enfin, porte sur la mesure de sécurité qui se déclenche automatiquement en cas d'envoi d'argent via un nouvel appareil, une IP différente ou un compte tout récent. Ce blocage sécuritaire autonome est exposé aux attaques par force brute, qui permettent de craquer un mot de passe ou un nom d'utilisateur.

Un changement de nom impossible devenu possible

Passons à présent aux vulnérabilités un peu « moins grave ». La quatrième est liée à l'option qui permet aux utilisateurs de PayPal de modifier une à deux lettres de leur nom ou prénom. Au-delà, l'option de mise à jour du profil n'est plus disponible. Or, la brèche décelée par l'équipe de CyberNews permet de changer complètement les noms. « Tester IAmTester » est ainsi devenu « christin christina », et ce problème aurait déjà été signalé par un autre chercheur.

La cinquième vulnérabilité est une faille XSS contenue dans le chat d'auto-assistance de PayPal, SmartChat, qui permet aux utilisateurs du service de trouver les réponses aux questions les plus courantes. Cette brèche peut permettre à un cybercriminel d'obtenir des informations sensibles de l'utilisateur.

Enfin, la sixième faille est assez similaire à la précédente. Elle peut donner la possibilité au hacker d'injecter du code dans le compte d'une autre personne, pour récupérer ses données personnelles.

Source : CyberNews