Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

eBay colmate une faille sur son site qui aurait permis à des attaquants
De subtiliser des identifiants d'utilisateurs

Le , par Stéphane le calme

0PARTAGES

3  0 
Un bogue critique sur le site d’eBay pouvait permettre à des personnes malveillantes de créer de fausses pages de connexion pour récolter des mots de passe et des identifiants des utilisateurs du service de ventes aux enchères en ligne.

C’est un chercheur en sécurité indépendant qui a trouvé la faille au début du mois de décembre qui explique avoir alerté l’entreprise le vendredi 11 décembre. Après avoir donné une première réponse au chercheur le jour suivant pour lui demander plus d'informations sur la faille, eBay a cessé de répondre à ses courriels et a finalement décidé de colmater la faille la semaine dernière.

Le chercheur, qui se fait appeler MLT, a expliqué que n’importe qui aurait pu profiter du bogue de type XSS pour cibler des utilisateurs du service et récolter leurs identifiants en se servant d’une technique d’hameçonnage. Dans le billet où il a expliqué comment le bogue aurait pu être utilisé, il a noté que « la vulnérabilité est désormais colmatée, mais il devrait être souligné que j’ai attendu un mois sans avoir de réponse de la part d’eBay et qu’ils se sont précipités pour colmater la brèche uniquement après que les médias les aient contactés sur le sujet ».

Il a d’abord expliqué les étapes pour mettre sur pied une authentique page de phishing avant de montrer avec quelle facilité cela était applicable sur eBay ; obtenir une copie de la page d’identification d’eBay (qui peut être fait via un logiciel qui fait des miroirs de sites web pour automatiser le processus), après quoi il suffisait de modifier les entrées du formulaire de la page (le formulaire de connexion) pour envoyer les données à votre script PHP à la place du script de connexion d’eBay. La vidéo ci-dessous est une preuve du concept :


« Ils n’ont vraiment aucune excuse d’avoir laissé leur domaine principal être vulnérable à XSS », a-t-il confié lors d’un entretien qui a eu lieu avant que la faille n’ait été colmatée. « Nous sommes en 2016, nous avons de nombreuses technologies mises en place pour prévenir les attaques XSS. (…) De nombreux sites ont eu des vulnérabilités XSS par le passé, à l’instar de Facebook.com. Mais trouver une faille XSS sur Facebook maintenant sera une tâche extrêmement difficile parce qu’ils ont mis les mesures de sécurité appropriées en place. [Je ne sais pas] pourquoi eBay ne peut pas faire la même chose ». « Ils ne devraient JAMAIS permettre à quiconque d’effectuer des redirections vers JavaScript de la sorte », a-t-il ajouté.

Ryan Moore, un porte-parole d'eBay, a déclaré la semaine dernière que la compagnie est « engagée à fournir un marché sûr et sécuritaire pour nos millions de clients à travers le monde», et qu'ils travaillaient « rapidement » pour les fixer. Moore a expliqué qu'il y avait « un problème de communication » parce MLT « a fait suivre son rapport de bogue initial en se servant d’un alias différent pour ses courriels ».

En 2014, Jaanus Kääp, un chercheur qui se trouve en Estonie, a découvert une vulnérabilité du même type (XSS) et a fait parvenir à eBay des courriels et en avril 2015 eBay n’avait toujours pas fourni de correctif. Selon la description qu’il a faite sur son blog, le bogue pourrait permettre à un attaquant de lancer une attaque XSS sur le système de messagerie interne d’eBay en interceptant et en modifiant une requête. Kääp a indiqué que la vulnérabilité pouvait s’avérer avoir une portée importante pour les attaques ciblées dans la mesure où les sessions cookies dans eBay n’étaient pas HTTPOnly, ce qui aurait pu aider à mitiger les attaques puisqu’un cookie de ce type a la particularité d’être accessible seulement via HTTP(s), l’accès à cet élément est restreint à tous les non HTTP-API comme JavaScript. Les cookies HTTPOnly sont généralement utilisés pour conserver les informations d’authentification afin de protéger ces dernières contre les attaques XSS.

Source : blog MLT, blog Jaanus Kääp

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de Vlozer
Membre habitué https://www.developpez.com
Le 13/01/2016 à 13:01
Suite à l'attaque d'ebay en 2014 j'avais eu des alerte de tentative de connexion de pays étranger sur certains de mes comptes...

Ca m'avait deja gonflé de constater qu'en 2015 y'a encore des entreprises de merde qui ne font pas au moins du salt hashage, alors que putain c'est un truc elementaire...
Et qui s'en tirent en plus, sans aucun dommage (alors que leurs devs devraient littéralement être pendus par les couilles et fouetté avec des orties)

Et là je me rend que cette boite mafieuse continue de faire de la merde, que c'est aux utilistateur externe de relevée les failles, et qu'ils attendent que ça fassent du bruit pour colmater et communiquer dessus...

Alors OK, aucun système n'est infaillible mais ça serait VRAIMENT BIEN un jour de penaliser les entreprises qui font ouvertement de la merde parce qu'elles en ont juste rien à battre de la sécurité de leur client (lisibilité des mot de passe, communication sur le sujet, refus de colmater les failles...)
1  0