Une vulnérabilité découverte dans OAuth et Open ID

01 juin 2018 à 15h36
0
Une nouvelle vulnérabilité de grande envergure vient d'être découverte. Celle-ci touche les modules de connexion basés sur les protocoles OAuth et OpenID

00C8000007338362-photo-oauth-logo-gb-sq.jpg
Après la faille Heartbleed, touchant les serveurs des sites Internet ayant implémenté le protocole de sécurité TLS via OpenSSL, une autre vulnérabilité vient d'être observée sur Internet. Celle-ci vise à manipuler les modules de connexion basés sur OAuth 2.0 ou OpenID.

La faille en question a été repérée par Wang Jing, un étudiant de l'université de Singapour. A l'heure actuelle certains services Internet proposent aux internautes d'authentifier un compte tiers afin d'obtenir davantage de fonctionnalités. Microsoft, par exemple, propose de se connecter à ses comptes Google et Facebook afin de synchroniser les contacts au sein d'Outlook.com ou d'activer la messagerie instantanée. D'autre, comme Spotify, proposent la création d'un profil en chargeant les informations de Facebook.

La faille en question permet à un hacker malintentionné d'envoyer la victime vers un site frauduleux puis de lui présenter un pop-up de connexion classique. Plutôt que de présenter une fausse URL, le pop-up présente le domaine légitime du fournisseur d'informations, par exemple Facebook. Toutefois cette URL est modifiée pour contenir également une redirection vers un autre site frauduleux. Ce dernier sera spécialement conçu pour récupérer le certificat retourné par Facebook et disposant de toutes les autorisations permettant de collecter des informations sensibles, qu'il s'agisse d'une adresse email, d'une liste de contacts... En fonction des droits d'accès demandés par le hacker, celui-ci pourrait même gérer le profil de la victime à son insu.

Parmi les sites potentiellement affectés, M. Jing fait mention de Facebook, Google, Yahoo, LinkedIn, Paypal, Weibo, Mail.ru ou encore Live.com. L'étudiant explique avoir contacté ces principaux fournisseurs OAuth / OpenID, mais si cette vulnérabilité est connue, elle ne dispose toutefois pas de solution immédiate. Facebook estime que ce problème ne peut être corrigé de manière instantanée. Google avoue être au courant et analyse la situation tandis que Microsoft a ouvert une enquête et affirme ne pas avoir décelé de problème sur login.live.com.




Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

Twitter : masquage d'activité et conversations privées en vue, pour plus de discrétion
Cloud : les sociétés américaines devront fournir des données même hébergées en Europe
Infos US de la nuit : Apple acquiert Luxvue, Linkedin sanctionné par les marchés financiers
Revue de Web : expérimentez le lag dans la vraie vie
Sondage sur les tablettes
Les ventes de tablettes augmentent mais faiblement
Microsoft met à jour OneNote sur iOS et OS X
La fondation Wikimedia accueille un nouveau PDG
L’Arcep estime que les tarifs d’Orange pour les MVNO ne sont pas
Foursquare divise ses activités en deux applications mobiles
Haut de page