Paypal corrige une vulnérabilité liée à son implémentation de OAuth

By | November 30, 2016

Paypal corrige une vulnérabilité liée à son implémentation de OAuth

Les ingénieurs de Paypal ont corrigé une faille qui pouvait permettre aux attaquants d’obtenir des tokens d’accès OAuth de n’importe quelle application et d’accéder aux informations des utilisateurs Paypal.

Cette faille avait été découverte par un ingénieur d’Adobe Antonio Sanso pendant qu’il testait son propre client OAuth.

OAuth est un protocole libre permettant d’autoriser une application client à utiliser l’API sécurisée d’une autre application pour le compte d’un utilisateur.
Vous avez sûrement remarqué certains sites (ou applications) vous proposer de vous authentifier à partir de vos comptes Facebook ou Twitter pour ainsi récupérer les informations de votre profil. Tel est le protocole OAuth en action.
Cette fonctionnalité a notamment pour objectif de faciliter l’insertion de noms d’utilisateurs et de mots de passe à travers plusieurs applications.

La vulnérabilité qu’a découvert Sanso chez Paypal venait du paramètre redirect_uri inclus dans les requêtes échangées par les serveurs durant la procédure d’authentification OAuth.
Ce paramètre est en effet l’URL qu’utilisent les serveurs OAuth de Paypal pour délivrer un token d’accès. Ce token est ensuite utilisé par un client (application Web ou application mobile, etc.) pour accéder aux informations d’utilisateurs de Paypal.

Après avoir créé une entrée DNS sur son site Web (localhost.intothesymmetry.com) Sanso a trouvé qu’il pouvait envoyer une requête à Paypal en utilisant son URL comme redirect_uri. Comme résultat, son astuce a pu passer outre le processus de validation stipulé par Paypal, ce qui lui a permis d’obtenir le token d’accès de son client OAuth.

Affichage du Token d'autorisation

Muni donc de ce redirect_uri et d’un identifiant de client, Sanso était en mesure d’obtenir le token d’authorisation de n’importe quelle application OAuth de Paypal.

Suite à une serie d’échanges avec Sanso, Paypal a finalement implémenté un correctif et récompensé l’ingénieur le 7 Novembre dernier.

mdestroy

Source: Blog.intothesymetry.com

Leave a Reply

Your email address will not be published. Required fields are marked *