Six nouvelles failles trouvées dans le code de PayPal

25 février 2020 à 12h00
5
paypal-logo.jpg

Le service de paiement est en proie à plusieurs vulnérabilités repérées par les spécialistes de CyberNews. Certaines n'auraient pas été corrigées par l'entreprise américaine.

CyberNews a découvert six failles importantes au sein de PayPal. Tentant de signaler ces problèmes, les chercheurs du site n'ont pas vraiment été bien accueillis par les équipes du service de paiement basé à Palo Alto. Face au manque de collaboration et aux banales réponses des équipes de PayPal après les signalements, CyberNews a été contraint de passer par la plateforme HackerOne de la firme californienne, une sorte de programme permettant aux dénicheurs de bugs et de failles d'obtenir des primes (jusqu'à 30 000 dollars depuis mars 2018). Mais même sur cette dernière, CyberNews, reprochant à PayPal de ne pas prendre au sérieux les problèmes, a été zappé et a vu son score de réputation sérieusement diminuer, au point d'être considéré comme un spam.


Des failles majeures, comme le contournement de l'A2F ou de l'OTP

Après avoir analysé les applications mobiles de PayPal ainsi que l'interface web de la plateforme, les chercheurs de CyberNews ont décelé une première vulnérabilité, la plus grave au passage : celle du contournement de l'authentification à deux facteurs (A2F). L'équipe de recherche a en effet pu contourner le jeton d'identification permettant l'accès à un compte par un utilisateur se connectant depuis un nouvel appareil, un nouvel emplacement ou une nouvelle adresse IP. Le contournement ne prend que quelques minutes. Un problème que PayPal a ignoré dans sa réponse ! Pourtant, la faille permet un accès total au compte ciblé.

La seconde brèche consiste en l'ajout d'un téléphone à son compte sans passer par l'étape du OTP (one-time password), très populaire pour les comptes mails ou les applications bancaires. Ici, CyberNews a pu modifier l'appel à « ami-m.paypal.com », qui envoie la confirmation du téléphone, ce qui permet aux hackers de créer de faux comptes, sans avoir à recevoir le code de vérification par SMS.

La troisième faille, enfin, porte sur la mesure de sécurité qui se déclenche automatiquement en cas d'envoi d'argent via un nouvel appareil, une IP différente ou un compte tout récent. Ce blocage sécuritaire autonome est exposé aux attaques par force brute, qui permettent de craquer un mot de passe ou un nom d'utilisateur.


Un changement de nom impossible devenu possible

Passons à présent aux vulnérabilités un peu « moins grave ». La quatrième est liée à l'option qui permet aux utilisateurs de PayPal de modifier une à deux lettres de leur nom ou prénom. Au-delà, l'option de mise à jour du profil n'est plus disponible. Or, la brèche décelée par l'équipe de CyberNews permet de changer complètement les noms. « Tester IAmTester » est ainsi devenu « christin christina », et ce problème aurait déjà été signalé par un autre chercheur.

La cinquième vulnérabilité est une faille XSS contenue dans le chat d'auto-assistance de PayPal, SmartChat, qui permet aux utilisateurs du service de trouver les réponses aux questions les plus courantes. Cette brèche peut permettre à un cybercriminel d'obtenir des informations sensibles de l'utilisateur.

Enfin, la sixième faille est assez similaire à la précédente. Elle peut donner la possibilité au hacker d'injecter du code dans le compte d'une autre personne, pour récupérer ses données personnelles.

Source : CyberNews
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
5
5
jvachez
Ca devrait être une possibilité de base de pouvoir changer de nom.
Nmut
C’est une protection contre l’utilisation d’un compte piraté associé à une usurpation d’identité.<br /> Pourquoi penses-tu que c’est indispensable de pouvoir changer de nom? Un compte est normalement lié à une personne morale ou physique et on change assez peu souvent de nom…
exoje
faille XSS*
AlexLex14
Erreur de frappe, merci @exoje, c’est corrigé
newseven
C’est moins pire que la banque desjardins !
Voir tous les messages sur le forum

Actualités du moment

EDF rachète le constructeur de bornes de recharge électrique britannique PodPoint
Disney+ : un prix réduit en Europe (à condition de s'abonner avant le 23 mars)
Coronavirus : le tournage du prochain Mission Impossible mis en pause en Italie
Capcom et Square Enix se retirent (eux aussi) du salon PAX East 2020
Apple retire discrètement le serveur web Zoom caché via une mise à jour sur Mac
Black Friday Amazon : Microsoft Surface Pro 7 à 799€ au lieu de 1069€
Comment régler les couleurs de son écran PC ?
4 techniques simples pour nettoyer son PC
Alimentation de 850 W pour le multi-GPU chez Corsair
Haut de page