IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Un chercheur explique comment il a contourné le système d’authentification à deux facteurs de PayPal


Sujet :

Sécurité

  1. #1
    Chroniqueur Actualités
    Avatar de Michael Guilloux
    Homme Profil pro
    Data Consultant
    Inscrit en
    juillet 2013
    Messages
    2 485
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 30
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Data Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : juillet 2013
    Messages : 2 485
    Points : 78 521
    Points
    78 521
    Billets dans le blog
    2
    Par défaut Un chercheur explique comment il a contourné le système d’authentification à deux facteurs de PayPal
    Un chercheur en sécurité explique comment il a contourné le système d’authentification à deux facteurs de PayPal
    la faille a été corrigée

    Comme l’ensemble des systèmes de sécurité, aucun mécanisme d’authentification n’est fiable à 100 % même si certains essaient d’offrir des solutions plus robustes que d’autres. Un chercheur en sécurité de nationalité britannique et du nom de Henry Hoggard vient de le prouver en trouvant un moyen très simple de contourner le système d’authentification à deux facteurs (2FA) de PayPal. Sa technique, aussi simple soit-elle, peut en effet permettre à un attaquant de prendre le contrôle d’un compte PayPal en moins de cinq minutes, mais à condition que l’attaquant ait d’abord le nom d’utilisateur et le mot de passe de sa cible et soit au moins un amateur de la sécurité. Vu les habitudes des internautes en matière de sécurité de mots de passe (faciles à deviner ou utilisés plusieurs fois), cela ne devrait donc pas vraiment être difficile pour un pirate.

    Il a découvert la faille alors qu’il devrait effectuer un paiement PayPal dans un hôtel. N’ayant pas de signal téléphonique, il ne pouvait pas donc recevoir de code par SMS pour valider son authentification. Dans ce genre de situation, PayPal propose une autre manière de se connecter à travers un lien « Try another way » au niveau de l’écran de connexion.


    En cliquant sur le lien, il devait répondre à des questions de sécurité. À ce stade, Hoggard a découvert qu’il pouvait entrer n'importe quelle réponse aux questions de sécurité, mais en interceptant la requête HTTP du serveur de PayPal et en supprimant les paramètres securityQuestion0 et securityQuestion1 relatifs aux questions de sécurité, il pouvait tromper le serveur du service de paiement en ligne en le faisant croire qu’il avait correctement répondu aux questions. PayPal va donc lui donner accès au compte en question.






    Le 3 octobre, le chercheur en sécurité a informé le service de paiement en ligne de la faille qu’il a découverte dans son système. Après vérification, PayPal a confirmé la faille et a informé Henry Hoggard qu’elle a été corrigée le 21 octobre. Il a également eu droit à une prime comme récompense.

    Source : Henry Hoggard

    Et vous ?

    Qu’en pensez-vous ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre éprouvé
    Homme Profil pro
    Consultant en technologies
    Inscrit en
    juin 2013
    Messages
    260
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Consultant en technologies
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : juin 2013
    Messages : 260
    Points : 903
    Points
    903
    Par défaut
    Putain le type il peut pas faire de paypal pour s'acheter des chips dans un hotel donc il debug les requêtes HTTP entre son navigateur et le site pour trouver une faille de sécu, gagner une récompense et se payer ses pringles.

  3. #3
    Membre régulier
    Homme Profil pro
    Développeur informatique
    Inscrit en
    septembre 2016
    Messages
    42
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Loire (Rhône Alpes)

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : septembre 2016
    Messages : 42
    Points : 87
    Points
    87
    Par défaut
    Il est temps que je me mette à intercepter des requetes http moi

  4. #4
    Membre expérimenté Avatar de yann2
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    mai 2004
    Messages
    897
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : France, Hauts de Seine (Île de France)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels

    Informations forums :
    Inscription : mai 2004
    Messages : 897
    Points : 1 610
    Points
    1 610
    Par défaut
    C'est grave.

    Mais le plus grave ce n'est pas qu'il ait pu contourner le check des réponses aux questions de sécurité. Non, le plus grave c'est que le système de "question de sécurité" existe encore. Une réponse à une question de sécurité n'est rien d'autres qu'un mot de passe encore plus facile à trouver et qu'on ne change jamais. Clap !

  5. #5
    Expert éminent
    Avatar de transgohan
    Homme Profil pro
    Développeur Temps réel Embarqué
    Inscrit en
    janvier 2011
    Messages
    3 147
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Maine et Loire (Pays de la Loire)

    Informations professionnelles :
    Activité : Développeur Temps réel Embarqué

    Informations forums :
    Inscription : janvier 2011
    Messages : 3 147
    Points : 9 341
    Points
    9 341
    Par défaut
    Moi le plus grave c'est pourquoi faire transiter des informations si c'est pour ne pas les vérifier ?
    C'est un peu la base de la sécurité des formulaires... Ne jamais croire ce qu'on reçoit côté serveur sans vérification...

    « Toujours se souvenir que la majorité des ennuis viennent de l'espace occupé entre la chaise et l'écran de l'ordinateur. »
    « Le watchdog aboie, les tests passent »

Discussions similaires

  1. Réponses: 9
    Dernier message: 24/12/2015, 15h32
  2. Flash Player : un chercheur trouve comment contourner le bac à sable
    Par Hinault Romaric dans le forum Actualités
    Réponses: 0
    Dernier message: 07/01/2011, 10h56
  3. Réponses: 0
    Dernier message: 10/09/2008, 15h11
  4. [JAVA] Lien expliquant comment créer/ lire / modifier un XML
    Par The_revival dans le forum XML/XSL et SOAP
    Réponses: 2
    Dernier message: 07/12/2005, 17h10

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo