Attention, Facebook, Google, Yahoo, LinkedIn, Paypal, Weibo, Mail.ru … vulnérables: enjeux, faits, conseils et défis.
Nous vivons désormais dans un monde hyper-connecté
inondé par les données, les applications et les capteurs de toutes sortes. Ce qui
veut dire qu’il est de plus en plus complexe de développer, surveiller,
maintenir ou faire évoluer une application. D’où la nécessité de développer les
approches collaborative et de transparence très poussées entre les différents
acteurs de l’industrie du numérique.
Chez Connectikpeople.co, nous sommes conscients de
notre rôle incontournable dans le processus bout-en-bout de transformation
digitale des entreprises et organisations de
toutes sortes.
C’est l’occasion pour nous de féliciter le haut degré de
transparence de Wang Jing, un étudiant de
l'université de Singapour. L’étudiant a observé une vulnérabilité sur les modules de connexion basés sur des
protocoles OAuth 2.0 ou OpenID.
Expliquons terre-à-terre de quoi il s’agit : sur
internet ou sur les applications mobile, certains services proposent les interactions
dynamiques et sécurisées entre comptes tiers. Cela est possible grâce aux protocoles
OAuth 2.0 ou OpenID.
Chez Microsoft (Outlook.com) par exemple, on propose
de se connecter à ses comptes Google et Facebook afin de synchroniser les
contacts au sein d'Outlook.com ou d'activer la messagerie instantanée.
D'autre services, proposent la création d'un profil en
chargeant les informations de Facebook, Google+ ou de Twitter.
La vulnérabilité trouvée par Wang Jing , permet à un attaquant d’exploiter cette interaction en envoyant la victime vers un site frauduleux puis de lui présenter un pop-up de connexion classique.
La vulnérabilité trouvée par Wang Jing , permet à un attaquant d’exploiter cette interaction en envoyant la victime vers un site frauduleux puis de lui présenter un pop-up de connexion classique.
Pas de fausse URL cette-fois-ci, il s’agit d’un pop-up
présentant le domaine légitime du fournisseur d'informations, par exemple votre
profil Facebook, modifiée intégrant une redirection vers un site frauduleux.
L’attaquant peut ainsi récupérer le certificat
retourné par Facebook, disposant de toutes les autorisations permettant de
collecter des informations sensibles (adresses email, liste de contacts,
photos, documents, etc.). En fait l’attaquant dispose de tous les droits
d'accès pour même gérer le profil de la victime à son insu.
Les services et sites potentiellement vulnérables sont Facebook, Google, Yahoo, LinkedIn, Paypal, Weibo, Mail.ru ou encore Live.com.
Les services et sites potentiellement vulnérables sont Facebook, Google, Yahoo, LinkedIn, Paypal, Weibo, Mail.ru ou encore Live.com.
Dans le cadre notre engagement global,
Connectikpeople.co recommande aux utilisateurs de ces services de s’authentifier
directement sur les sites et servies officiels concernés. En attendant que les
principaux fournisseurs OAuth / OpenID, trouvent la solution au problème.
