Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Salt Security a décelé des failles de sécurité de l’API dans le framework Expo

mai 2023 par Salt Security

Salt Security dévoile un nouveau rapport sur les menaces, réalisé par Salt Labs, qui met en évidence de nombreuses failles de sécurité du framework Expo. Ces failles, décelées dans l’implémentation du protocole Open Authorization (OAuth) utilisé par Expo, exposaient les utilisateurs se connectant à un service en ligne via leur compte Facebook, Google, Apple et Twitter, une méthode d’authentification qui passe par la plateforme Expo. Ces résultats figurent dans le deuxième rapport de Salt Labs consacré au piratage du protocole OAuth, après un premier rapport sur les vulnérabilités découvertes sur le site Booking.com en début d’année.

Les investigations menées prouvent à quel point les entreprises sont vulnérables aux failles de sécurité des API introduites par des frameworks tiers, une faille qui dans le cas présent est susceptible d’affecter l’implémentation de centaines de sites et applications. De fait, les résultats ont démontré que les services utilisant ce framework s’exposaient à une fuite de leurs données et à des usurpations à grande échelle (AOT) des comptes de leurs clients, permettant ainsi aux acteurs malveillants d’effectuer les manœuvres suivantes :

● Manipulation des utilisateurs de la plateforme en vue de prendre le contrôle total de leurs comptes (ATO)

● Fuite d’informations personnelles (PII) et autres données sensibles stockées en interne par les sites

● Vol d’identifiants d’utilisateurs, fraude financière et accès aux informations des cartes de crédit

● Éventuellement, actions réalisées au nom de l’utilisateur compromis sur Facebook, Google, Twitter et autres plateformes en ligne

L’analyse des vulnérabilités a été conduite et remise par Salt Labs, le laboratoire de recherche de Salt Security à l’origine de la découverte, qui met par ailleurs à disposition du public un forum sur la sécurité des API. Après la découverte des vulnérabilités, les chercheurs de Salt Labs ont suivi des pratiques bien établies en vue de transmettre leurs conclusions à Expo a créé la fiche de vulnérabilité CVE-2023-28131 et a promptement réagi pour corriger les failles. Une enquête menée par Expo a déterminé que ces failles n’avaient pas été exploitées.

« Aucun site n’est à l’abri des failles de sécurité, c’est la réponse qui compte », déclare Yaniv Balmas, VP Recherche, Salt Security. « Dans le secteur, où le protocole OAuth s’est rapidement imposé comme un standard, les acteurs malveillants redoublent d’efforts pour déceler les failles de sécurité qu’il contient. Parce qu’elle est susceptible d’exposer des données précieuses, une erreur d’implémentation du protocole peut avoir un impact considérable sur les clients comme sur les entreprises, et ces dernières doivent toujours rester à l’affût des risques de sécurité au sein de leurs plateformes. »

Cette vulnérabilité expose des centaines d’entreprises à des risques, dont Codacademy et bien d’autres, qui utilisent toutes Expo

En tant que plateforme de développement d’applications, Expo permet aux développeurs de créer des applications natives de qualité pour iOS, Android et autres plateformes web, le tout à partir d’un seul codebase. Elle met à disposition un ensemble d’outils, de bibliothèques et de services qui simplifient et accélèrent le processus de développement.

Au sein de la fonctionnalité de connexion via un compte de réseau social, utilisée par Expo et implémentée au moyen du protocole standard OAuth, les chercheurs ont identifié des vulnérabilités importantes. Très utilisé par les sites et services web, OAuth permet aux utilisateurs de se connecter à des sites via leurs comptes de réseaux sociaux, le tout en un clic, ce qui représente un gain de temps par rapport à la méthode classique consistant à s’inscrire et à s’authentifier à l’aide d’un identifiant et d’un mot de passe.

Si OAuth offre une expérience simplifiée qui facilite les interactions des utilisateurs avec les sites web, ce qui explique en grande partie sa popularité. Cependant, le protocole présente un back-end technique complexe pouvant donner lieu à des erreurs d’implémentation, et donc à des failles de sécurité potentiellement exploitables. C’est ce qu’ont découvert les chercheurs de Salt Labs après avoir manipulé certaines étapes de la séquence OAuth sur le site Expo, leur permettant ainsi de pirater des sessions et d’usurper des comptes dans le but de subtiliser des données (numéros de carte de crédit, messages privés et dossiers médicaux) et d’agir à la place des utilisateurs.

Des centaines d’entreprises utilisant Expo sont concernées, comme l’ont constaté les chercheurs de Salt Labs sur Codacademy.com, une plateforme en ligne populaire proposant des cours de programmation gratuits pour des dizaines de langages. Google, LinkedIn, Amazon et Spotify font partie des entreprises qui utilisent le site, lequel revendique près de 100 millions d’utilisateurs, pour former leur personnel. L’équipe Salt Labs est parvenue à exploiter la vulnérabilité d’Expo sur le site de Codacademy.com, ce qui lui a permis de prendre le contrôle total des comptes.

D’après le rapport de Salt Security sur la sécurité des API au T3 2022, les clients de Salt ont observé une augmentation de 117 % du nombre d’attaques dirigées contre les API, contre une augmentation de 168 % du trafic des API. La plateforme Salt Security de protection des API permet aux entreprises d’identifier les risques et les failles des API avant que des hackers n’en tirent parti, y compris celles recensées dans le TOP 10 API de l’ OWASP. Seule solution à associer la puissance du big data à l’échelle du cloud à des algorithmes d’IA et de machine learning pour définir un cadre de référence applicable à des millions d’utilisateurs et d’API, la plateforme protège les API tout au long de leur cycle de vie (développement, déploiement, production ). Au moyen d’analyses contextuelles exhaustives, Salt donne aux utilisateurs les moyens de détecter et de contrer les activités de reconnaissance malveillantes avant que les hackers n’atteignent leur objectif. De fait, les exploits exécutés par l’équipe Salt Labs auraient immédiatement déclenché une alerte de la plateforme Salt.


Voir les articles précédents

    

Voir les articles suivants