Six nouvelles failles trouvées dans le code de PayPal

Alexandre Boero
Par Alexandre Boero, Journaliste-reporter, responsable de l'actu.
Publié le 25 février 2020 à 12h00
paypal-logo.jpg

Le service de paiement est en proie à plusieurs vulnérabilités repérées par les spécialistes de CyberNews. Certaines n'auraient pas été corrigées par l'entreprise américaine.

CyberNews a découvert six failles importantes au sein de PayPal. Tentant de signaler ces problèmes, les chercheurs du site n'ont pas vraiment été bien accueillis par les équipes du service de paiement basé à Palo Alto. Face au manque de collaboration et aux banales réponses des équipes de PayPal après les signalements, CyberNews a été contraint de passer par la plateforme HackerOne de la firme californienne, une sorte de programme permettant aux dénicheurs de bugs et de failles d'obtenir des primes (jusqu'à 30 000 dollars depuis mars 2018). Mais même sur cette dernière, CyberNews, reprochant à PayPal de ne pas prendre au sérieux les problèmes, a été zappé et a vu son score de réputation sérieusement diminuer, au point d'être considéré comme un spam.


Des failles majeures, comme le contournement de l'A2F ou de l'OTP

Après avoir analysé les applications mobiles de PayPal ainsi que l'interface web de la plateforme, les chercheurs de CyberNews ont décelé une première vulnérabilité, la plus grave au passage : celle du contournement de l'authentification à deux facteurs (A2F). L'équipe de recherche a en effet pu contourner le jeton d'identification permettant l'accès à un compte par un utilisateur se connectant depuis un nouvel appareil, un nouvel emplacement ou une nouvelle adresse IP. Le contournement ne prend que quelques minutes. Un problème que PayPal a ignoré dans sa réponse ! Pourtant, la faille permet un accès total au compte ciblé.

La seconde brèche consiste en l'ajout d'un téléphone à son compte sans passer par l'étape du OTP (one-time password), très populaire pour les comptes mails ou les applications bancaires. Ici, CyberNews a pu modifier l'appel à « ami-m.paypal.com », qui envoie la confirmation du téléphone, ce qui permet aux hackers de créer de faux comptes, sans avoir à recevoir le code de vérification par SMS.

La troisième faille, enfin, porte sur la mesure de sécurité qui se déclenche automatiquement en cas d'envoi d'argent via un nouvel appareil, une IP différente ou un compte tout récent. Ce blocage sécuritaire autonome est exposé aux attaques par force brute, qui permettent de craquer un mot de passe ou un nom d'utilisateur.


Un changement de nom impossible devenu possible

Passons à présent aux vulnérabilités un peu « moins grave ». La quatrième est liée à l'option qui permet aux utilisateurs de PayPal de modifier une à deux lettres de leur nom ou prénom. Au-delà, l'option de mise à jour du profil n'est plus disponible. Or, la brèche décelée par l'équipe de CyberNews permet de changer complètement les noms. « Tester IAmTester » est ainsi devenu « christin christina », et ce problème aurait déjà été signalé par un autre chercheur.

La cinquième vulnérabilité est une faille XSS contenue dans le chat d'auto-assistance de PayPal, SmartChat, qui permet aux utilisateurs du service de trouver les réponses aux questions les plus courantes. Cette brèche peut permettre à un cybercriminel d'obtenir des informations sensibles de l'utilisateur.

Enfin, la sixième faille est assez similaire à la précédente. Elle peut donner la possibilité au hacker d'injecter du code dans le compte d'une autre personne, pour récupérer ses données personnelles.

Source : CyberNews
Alexandre Boero
Par Alexandre Boero
Journaliste-reporter, responsable de l'actu

Journaliste, responsable de l'actualité de Clubic – Sensible à la cybersécurité, aux télécoms, à l'IA, à l'économie de la Tech, aux réseaux sociaux ou encore aux services en ligne. En soutien direct du rédacteur en chef, je suis aussi le reporter et le vidéaste de la bande. Journaliste de formation, j'ai fait mes gammes à l'EJCAM, école reconnue par la profession, où j'ai bouclé mon Master avec une mention « Bien » et un mémoire sur les médias en poche.

Vous êtes un utilisateur de Google Actualités ou de WhatsApp ?
Suivez-nous pour ne rien rater de l'actu tech !
Commentaires (0)
Rejoignez la communauté Clubic
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur expertise quotidiennement.
Commentaires (5)
jvachez

Ca devrait être une possibilité de base de pouvoir changer de nom.

Nmut

C’est une protection contre l’utilisation d’un compte piraté associé à une usurpation d’identité.
Pourquoi penses-tu que c’est indispensable de pouvoir changer de nom? Un compte est normalement lié à une personne morale ou physique et on change assez peu souvent de nom… :slight_smile:

exoje

faille XSS*

AlexLex14

Erreur de frappe, merci @exoje, c’est corrigé :wink:

newseven

C’est moins pire que la banque desjardins !

Abonnez-vous à notre newsletter !

Recevez un résumé quotidien de l'actu technologique.

Désinscrivez-vous via le lien de désinscription présent sur nos newsletters ou écrivez à : [email protected]. en savoir plus sur le traitement de données personnelles