Des comptes Facebook et Google pourraient être touchés: Une vulnérabilité découverte dans OAuth et Open ID – Newstech.ca

Des comptes Facebook et Google pourraient être touchés: Une vulnérabilité découverte dans OAuth et Open ID

Une nouvelle vulnérabilité de grande envergure vient d’être découverte. Celle-ci touche les modules de connexion basés sur les protocoles OAuth et OpenID

Après la faille Heartbleed, touchant les serveurs des sites Internet ayant implémenté le protocole de sécurité TLS via OpenSSL, une autre vulnérabilité vient d’être observée sur Internet. Celle-ci vise à manipuler les modules de connexion basés sur OAuth 2.0 ou OpenID.virusLa faille en question a été repérée par Wang Jing, un étudiant de l’université de Singapour. A l’heure actuelle certains services Internet proposent aux internautes d’authentifier un compte tiers afin d’obtenir davantage de fonctionnalités. Microsoft, par exemple, propose de se connecter à ses comptes Google et Facebook afin de synchroniser les contacts au sein d’Outlook.com ou d’activer la messagerie instantanée. D’autre, comme Spotify, proposent la création d’un profil en chargeant les informations de Facebook.

La faille en question permet à un hacker malintentionné d’envoyer la victime vers un site frauduleux puis de lui présenter un pop-up de connexion classique. Plutôt que de présenter une fausse URL, le pop-up présente le domaine légitime du fournisseur d’informations, par exemple Facebook. Toutefois cette URL est modifiée pour contenir également une redirection vers un autre site frauduleux. Ce dernier sera spécialement conçu pour récupérer le certificat retourné par Facebook et disposant de toutes les autorisations permettant de collecter des informations sensibles, qu’il s’agisse d’une adresse email, d’une liste de contacts… En fonction des droits d’accès demandés par le hacker, celui-ci pourrait même gérer le profil de la victime à son insu.

Parmi les sites potentiellement affectés, M. Jing fait mention de Facebook, Google, Yahoo, LinkedIn, Paypal, Weibo, Mail.ru ou encore Live.com. L’étudiant explique avoir contcté ces principaux fournisseurs OAuth / OpenID, mais si cette vulnérabilité est connue, elle ne dispose toutefois pas de solution immédiate. Facebook estime que ce problème ne peut être corrigé de manière instantanée. Google avoue être au courant et analyse la situation tandis que Microsoft a ouvert une enquête et affirme ne pas avoir décelé de problème sur login.live.com.

Source: Clubic

Share This: