• Rechercher
Accueil ► News ► Decryptage ► PayPal : des chercheurs découvrent six failles de sécurité

PayPal : des chercheurs découvrent six failles de sécurité

Les chercheurs en sécurité informatique de Cybernews ont découvert six failles de sécurité dans le code de PayPal. Une nouvelle qui n’a pas été très bien accueillie par l’entreprise.

Les experts en sécurité informatique de Cybernews ont découvert la présence de six failles de sécurité dont certaines critiques dans le code de PayPal. Les chercheurs se sont empressés de prévenir l’entreprise, qui a décidé de les envoyer paître. Face au mutisme du service de paiement, Cybernews a été contrait et forcé de passer par HackerOne, une plateforme qui offre des primes à tous les chasseurs de bugs.

Quelles sont ces failles et où se cachent-elles ? Les agents de Cybernews ont analysé en profondeur les différentes applications mobiles de PayPal et le site internet. Ils y ont trouvé au total six vulnérabilités. La première est la plus grave de tous, et concerne la double-authentification (2FA). Comme le précise CyberNews, ils ont pu contourner en quelques minutes le jeton d’identification qui permet à un utilisateur d’accéder à son compte depuis un nouvel appareil ou une nouvelle adresse IP. Ceci fait, on obtient un accès total au compte (coordonnées bancaires, historique des commandes, etc.).

À lire également : Facebook vous paie en échange d’enregistrement vocaux

La seconde vulnérabilité permet elle d’ajouter un nouveau numéro de téléphone en évitant de passer par la case OTP (One-Time Password). Ceci permet de créer de faux comptes utilisateur, sans recevoir de code de vérification par SMS. Ensuite, la troisième faille concerne une mesure de sécurité autonome. Elle se déclenche dès l’envoi d’une somme d’argent depuis un nouveau compte ou un nouvel appareil. Selon Cybernews, une attaque par force brute (un robot teste toutes les combinaisons possibles jusqu’à tomber sur le bon mot de passe) suffirait à faire tomber cette défense.

Les trois autres failles se révèlent moins dangereuses :

      • Possibilité de changer entièrement son nom et prénom (normalement, il n’est possible que de modifier une ou deux lettres maximum)
      • Une faille XSS dans le SmartChat, l’assistant automatique de PayPal, permet à un hacker d’obtenir des informations personnelles d’un utilisateur
      • Possibilité pour un pirate d’injecter du code dans le compte d’un utilisateur, afin de lui subtiliser des données sensibles

    Pour l’heure, nous ne savons pas si Paypal s’est décidé à prendre au sérieux les avertissements de CyberNews et s’ils ont corrigé ces vulnérabilités.

  • Source : Clubic

Auteur
Kevin Dachez

À la rédaction, Kevin s'occupe des News. Il est tellement bon le bougre qu'on a essayé de nous le voler plusieurs fois. Bon, à chaque enlèvement on nous le ramène. Il faut dire que, malgré ses qualités, Kevin est adepte des dégradés sous Photoshop qui sentent bon la crise d'épilepsie et la rupture d'anévrisme...

Tous les articles
Auteur Kevin Dachez