Six nouvelles failles trouvées dans le code de PayPal

25 février 2020 à 08h15
5
paypal-logo.jpg

Le service de paiement est en proie à plusieurs vulnérabilités repérées par les spécialistes de CyberNews. Certaines n'auraient pas été corrigées par l'entreprise américaine.

CyberNews a découvert six failles importantes au sein de PayPal. Tentant de signaler ces problèmes, les chercheurs du site n'ont pas vraiment été bien accueillis par les équipes du service de paiement basé à Palo Alto. Face au manque de collaboration et aux banales réponses des équipes de PayPal après les signalements, CyberNews a été contraint de passer par la plateforme HackerOne de la firme californienne, une sorte de programme permettant aux dénicheurs de bugs et de failles d'obtenir des primes (jusqu'à 30 000 dollars depuis mars 2018). Mais même sur cette dernière, CyberNews, reprochant à PayPal de ne pas prendre au sérieux les problèmes, a été zappé et a vu son score de réputation sérieusement diminuer, au point d'être considéré comme un spam.


Des failles majeures, comme le contournement de l'A2F ou de l'OTP

Après avoir analysé les applications mobiles de PayPal ainsi que l'interface web de la plateforme, les chercheurs de CyberNews ont décelé une première vulnérabilité, la plus grave au passage : celle du contournement de l'authentification à deux facteurs (A2F). L'équipe de recherche a en effet pu contourner le jeton d'identification permettant l'accès à un compte par un utilisateur se connectant depuis un nouvel appareil, un nouvel emplacement ou une nouvelle adresse IP. Le contournement ne prend que quelques minutes. Un problème que PayPal a ignoré dans sa réponse ! Pourtant, la faille permet un accès total au compte ciblé.

La seconde brèche consiste en l'ajout d'un téléphone à son compte sans passer par l'étape du OTP (one-time password), très populaire pour les comptes mails ou les applications bancaires. Ici, CyberNews a pu modifier l'appel à « ami-m.paypal.com », qui envoie la confirmation du téléphone, ce qui permet aux hackers de créer de faux comptes, sans avoir à recevoir le code de vérification par SMS.

La troisième faille, enfin, porte sur la mesure de sécurité qui se déclenche automatiquement en cas d'envoi d'argent via un nouvel appareil, une IP différente ou un compte tout récent. Ce blocage sécuritaire autonome est exposé aux attaques par force brute, qui permettent de craquer un mot de passe ou un nom d'utilisateur.


Un changement de nom impossible devenu possible

Passons à présent aux vulnérabilités un peu « moins grave ». La quatrième est liée à l'option qui permet aux utilisateurs de PayPal de modifier une à deux lettres de leur nom ou prénom. Au-delà, l'option de mise à jour du profil n'est plus disponible. Or, la brèche décelée par l'équipe de CyberNews permet de changer complètement les noms. « Tester IAmTester » est ainsi devenu « christin christina », et ce problème aurait déjà été signalé par un autre chercheur.

La cinquième vulnérabilité est une faille XSS contenue dans le chat d'auto-assistance de PayPal, SmartChat, qui permet aux utilisateurs du service de trouver les réponses aux questions les plus courantes. Cette brèche peut permettre à un cybercriminel d'obtenir des informations sensibles de l'utilisateur.

Enfin, la sixième faille est assez similaire à la précédente. Elle peut donner la possibilité au hacker d'injecter du code dans le compte d'une autre personne, pour récupérer ses données personnelles.

Source : CyberNews
Modifié le 25/02/2020 à 12h00
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
5
5
Voir tous les messages sur le forum

Actualités du moment

Le Redmi K30 Pro sera lancé le mois prochain en Chine
Forfait mobile Free : une offre 50 Go sans engagement pour moins de 10€/mois
L'iPhone 12 utiliserait une nouvelle technologie Wi-Fi à très courte portée, similaire au Bluetooth
Stadia aura besoin de
EDF rachète le constructeur de bornes de recharge électrique britannique PodPoint
Cyberpunk 2077 : la mise à niveau Xbox Series X offerte aux possesseurs de la version Xbox One
Honor présente le 9X Pro : un smartphone moyenne gamme amputé de Google
Honor lance le View30 Pro : sortie le dans les prochains mois autour de 600€
Des ingénieurs tentent de battre le record de vitesse terrestre avec un véhicule zéro émission
L'iPhone 11 a un prix jamais vu jusqu'à ce soir 23h59 !
Haut de page