IdentifiantMot de passe
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

Un chercheur en sécurité explique comment il a contourné le système d'authentification à deux facteurs de PayPal
La faille a été corrigée

Le , par Michael Guilloux
4 commentaires

42PARTAGES

5  0 
Comme l’ensemble des systèmes de sécurité, aucun mécanisme d’authentification n’est fiable à 100 % même si certains essaient d’offrir des solutions plus robustes que d’autres. Un chercheur en sécurité de nationalité britannique et du nom de Henry Hoggard vient de le prouver en trouvant un moyen très simple de contourner le système d’authentification à deux facteurs (2FA) de PayPal. Sa technique, aussi simple soit-elle, peut en effet permettre à un attaquant de prendre le contrôle d’un compte PayPal en moins de cinq minutes, mais à condition que l’attaquant ait d’abord le nom d’utilisateur et le mot de passe de sa cible et soit au moins un amateur de la sécurité. Vu les habitudes des internautes en matière de sécurité de mots de passe (faciles à deviner ou utilisés plusieurs fois), cela ne devrait donc pas vraiment être difficile pour un pirate.

Il a découvert la faille alors qu’il devrait effectuer un paiement PayPal dans un hôtel. N’ayant pas de signal téléphonique, il ne pouvait pas donc recevoir de code par SMS pour valider son authentification. Dans ce genre de situation, PayPal propose une autre manière de se connecter à travers un lien « Try another way » au niveau de l’écran de connexion.


En cliquant sur le lien, il devait répondre à des questions de sécurité. À ce stade, Hoggard a découvert qu’il pouvait entrer n'importe quelle réponse aux questions de sécurité, mais en interceptant la requête HTTP du serveur de PayPal et en supprimant les paramètres securityQuestion0 et securityQuestion1 relatifs aux questions de sécurité, il pouvait tromper le serveur du service de paiement en ligne en le faisant croire qu’il avait correctement répondu aux questions. PayPal va donc lui donner accès au compte en question.






Le 3 octobre, le chercheur en sécurité a informé le service de paiement en ligne de la faille qu’il a découverte dans son système. Après vérification, PayPal a confirmé la faille et a informé Henry Hoggard qu’elle a été corrigée le 21 octobre. Il a également eu droit à une prime comme récompense.

Source : Henry Hoggard

Et vous ?

Qu’en pensez-vous ?

Une erreur dans cette actualité ? Signalez-nous-la !

4 commentaires
Commenter Signaler un problème
yann2
Avatar de yann2
Membre expérimenté https://www.developpez.com
Le 25/10/2016 à 23:20
C'est grave.

Mais le plus grave ce n'est pas qu'il ait pu contourner le check des réponses aux questions de sécurité. Non, le plus grave c'est que le système de "question de sécurité" existe encore. Une réponse à une question de sécurité n'est rien d'autres qu'un mot de passe encore plus facile à trouver et qu'on ne change jamais. Clap !
4  0 
transgohan
Avatar de transgohan
Expert éminent https://www.developpez.com
Le 26/10/2016 à 13:43
Moi le plus grave c'est pourquoi faire transiter des informations si c'est pour ne pas les vérifier ?
C'est un peu la base de la sécurité des formulaires... Ne jamais croire ce qu'on reçoit côté serveur sans vérification...
1  0 
earhater
Avatar de earhater
Membre éprouvé https://www.developpez.com
Le 25/10/2016 à 17:35
Putain le type il peut pas faire de paypal pour s'acheter des chips dans un hotel donc il debug les requêtes HTTP entre son navigateur et le site pour trouver une faille de sécu, gagner une récompense et se payer ses pringles.
0  0 
Oscar.STEFANINI
Avatar de Oscar.STEFANINI
Membre régulier https://www.developpez.com
Le 25/10/2016 à 19:21
Il est temps que je me mette à intercepter des requetes http moi
0  0