Une nouvelle vulnérabilité de grande envergure vient d'être découverte. Celle-ci touche les modules de connexion basés sur les protocoles OAuth et OpenID
Après la faille Heartbleed, touchant les serveurs des sites Internet ayant implémenté le protocole de sécurité TLS via OpenSSL, une autre vulnérabilité vient d'être observée sur Internet. Celle-ci vise à manipuler les modules de connexion basés sur OAuth 2.0 ou OpenID.
La faille en question a été repérée par Wang Jing, un étudiant de l'université de Singapour. A l'heure actuelle certains services Internet proposent aux internautes d'authentifier un compte tiers afin d'obtenir davantage de fonctionnalités. Microsoft, par exemple, propose de se connecter à ses comptes Google et Facebook afin de synchroniser les contacts au sein d'Outlook.com ou d'activer la messagerie instantanée. D'autre, comme Spotify, proposent la création d'un profil en chargeant les informations de Facebook.
La faille en question permet à un hacker malintentionné d'envoyer la victime vers un site frauduleux puis de lui présenter un pop-up de connexion classique. Plutôt que de présenter une fausse URL, le pop-up présente le domaine légitime du fournisseur d'informations, par exemple Facebook. Toutefois cette URL est modifiée pour contenir également une redirection vers un autre site frauduleux. Ce dernier sera spécialement conçu pour récupérer le certificat retourné par Facebook et disposant de toutes les autorisations permettant de collecter des informations sensibles, qu'il s'agisse d'une adresse email, d'une liste de contacts... En fonction des droits d'accès demandés par le hacker, celui-ci pourrait même gérer le profil de la victime à son insu.
Parmi les sites potentiellement affectés, M. Jing fait mention de Facebook, Google, Yahoo, LinkedIn, Paypal, Weibo, Mail.ru ou encore Live.com. L'étudiant explique avoir contacté ces principaux fournisseurs OAuth / OpenID, mais si cette vulnérabilité est connue, elle ne dispose toutefois pas de solution immédiate. Facebook estime que ce problème ne peut être corrigé de manière instantanée. Google avoue être au courant et analyse la situation tandis que Microsoft a ouvert une enquête et affirme ne pas avoir décelé de problème sur login.live.com.
Guillaume Belfiore
Lead Software Chronicler
Lead Software Chronicler
Je suis rédacteur en chef adjoint de Clubic, et plus précisément, je suis responsable du développement éditorial sur la partie Logiciels et Services Web.
Je suis rédacteur en chef adjoint de Clubic, et plus précisément, je suis responsable du développement éditorial sur la partie Logiciels et Services Web.
Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre
passion et débattre de l’actualité avec nos membres qui s’entraident et partagent leur
expertise quotidiennement.
