Developpez.com

Le Club des Développeurs et IT Pro

Un chercheur en sécurité explique comment il a contourné le système d'authentification à deux facteurs de PayPal

La faille a été corrigée

Le 2016-10-25 17:14:17, par Michael Guilloux, Chroniqueur Actualités
Comme l’ensemble des systèmes de sécurité, aucun mécanisme d’authentification n’est fiable à 100 % même si certains essaient d’offrir des solutions plus robustes que d’autres. Un chercheur en sécurité de nationalité britannique et du nom de Henry Hoggard vient de le prouver en trouvant un moyen très simple de contourner le système d’authentification à deux facteurs (2FA) de PayPal. Sa technique, aussi simple soit-elle, peut en effet permettre à un attaquant de prendre le contrôle d’un compte PayPal en moins de cinq minutes, mais à condition que l’attaquant ait d’abord le nom d’utilisateur et le mot de passe de sa cible et soit au moins un amateur de la sécurité. Vu les habitudes des internautes en matière de sécurité de mots de passe (faciles à deviner ou utilisés plusieurs fois), cela ne devrait donc pas vraiment être difficile pour un pirate.

Il a découvert la faille alors qu’il devrait effectuer un paiement PayPal dans un hôtel. N’ayant pas de signal téléphonique, il ne pouvait pas donc recevoir de code par SMS pour valider son authentification. Dans ce genre de situation, PayPal propose une autre manière de se connecter à travers un lien « Try another way » au niveau de l’écran de connexion.


En cliquant sur le lien, il devait répondre à des questions de sécurité. À ce stade, Hoggard a découvert qu’il pouvait entrer n'importe quelle réponse aux questions de sécurité, mais en interceptant la requête HTTP du serveur de PayPal et en supprimant les paramètres securityQuestion0 et securityQuestion1 relatifs aux questions de sécurité, il pouvait tromper le serveur du service de paiement en ligne en le faisant croire qu’il avait correctement répondu aux questions. PayPal va donc lui donner accès au compte en question.






Le 3 octobre, le chercheur en sécurité a informé le service de paiement en ligne de la faille qu’il a découverte dans son système. Après vérification, PayPal a confirmé la faille et a informé Henry Hoggard qu’elle a été corrigée le 21 octobre. Il a également eu droit à une prime comme récompense.

Source : Henry Hoggard

Et vous ?

Qu’en pensez-vous ?
  Discussion forum
4 commentaires
  • yann2
    Membre expérimenté
    C'est grave.

    Mais le plus grave ce n'est pas qu'il ait pu contourner le check des réponses aux questions de sécurité. Non, le plus grave c'est que le système de "question de sécurité" existe encore. Une réponse à une question de sécurité n'est rien d'autres qu'un mot de passe encore plus facile à trouver et qu'on ne change jamais. Clap !
    le 25/10/2016 à 23:20
  • transgohan
    Expert éminent
    Moi le plus grave c'est pourquoi faire transiter des informations si c'est pour ne pas les vérifier ?
    C'est un peu la base de la sécurité des formulaires... Ne jamais croire ce qu'on reçoit côté serveur sans vérification...
    le 26/10/2016 à 13:43
  • earhater
    Membre éprouvé
    Putain le type il peut pas faire de paypal pour s'acheter des chips dans un hotel donc il debug les requêtes HTTP entre son navigateur et le site pour trouver une faille de sécu, gagner une récompense et se payer ses pringles.
    le 25/10/2016 à 17:35
  • Oscar.STEFANINI
    Membre régulier
    Il est temps que je me mette à intercepter des requetes http moi
    le 25/10/2016 à 19:21