Ces résultats sont la conclusion du troisième et dernier rapport de recherche de Salt Labs consacré au piratage du protocole OAuth, après un autre rapport sur les vulnérabilités découvertes sur les sites de Booking.com et d’Expo en début d’année.

Cette nouvelle étude a repéré des failles lors de l’étape de vérification du jeton d’accès du processus de social login, qui fait partie de la mise en œuvre d’OAuth sur ces sites web. Ces vulnérabilités sont susceptibles d’avoir affecté environ un milliard de comptes d’utilisateurs sur ces trois sites.

Elles pourraient offrir les possibilités suivantes aux cybercriminels :

● Un accès complet aux comptes d’un utilisateur sur des dizaines de sites web, dont un accès potentiel aux comptes bancaires, aux informations de carte de crédit et à d’autres données sensibles.
● La capacité d’exécuter n’importe quelle action au nom de cet utilisateur, les risques étant des usurpations d’identité ou des fraudes financières.

Très prisé sur de nombreux sites et services web, OAuth permet aux internautes de se connecter en un clic en utilisant leurs comptes sur les médias sociaux, tels que Google ou Facebook, pour vérifier leur identité et s’inscrire sur un site. Cette solution leur évite de devoir créer une combinaison distincte de nom d’utilisateur et de mot de passe pour accéder au site. Pour autoriser ce type de connexion, OAuth a besoin d’un token vérifié pour valider l’accès. Or, aucun des trois sites n’a réussi à vérifier le token. Les chercheurs de Salt Labs sont parvenus à insérer un token provenant d’un autre site en le faisant passer pour un token vérifié et ainsi à accéder aux comptes des utilisateurs. Cette technique est appelée « Pass-The-Token Attack ».

Vidio
Vidio, une plateforme de streaming vidéo en ligne qui compte 100 millions d’abonnés actifs mensuels, propose un vaste catalogue de contenus : films, émissions de télévision, sports en direct et productions originales.

Les chercheurs de Salt Labs ont découvert des failles de sécurité d’OAuth en s’authentifiant via un compte Facebook. En effet, le site Vidio.com n’avait pas prévu de vérification du token. Or, c’est une précaution qui doit être prise par les développeurs du site et non par OAuth lui-même. Un attaquant peut ainsi manipuler les appels d’API pour insérer un token d’accès généré pour une autre application. Cette combinaison de token et d’ID d’application de substitution a permis à l’équipe de chercheurs de Salt Labs d’usurper l’identité d’un utilisateur sur le site de Vidio. Une telle manipulation aurait permis un piratage massif de milliers de comptes.

Bukalapak
Bukalapak est l’une des plateformes des commerce électronique les plus importantes et les plus prisées en Indonésie, avec plus de 150 millions d’utilisateurs mensuels.

Tout comme Vidio, Bukalapak ne vérifiait pas le token d’accès lorsque les utilisateurs s’authentifiaient à l’aide d’un login social. Par conséquent, en insérant un token provenant d’un autre site web, l’équipe de Salt Labs avait la possibilité d’accéder aux informations d’identification d’un utilisateur sur le site bukalapak.com et de prendre intégralement le contrôle de son compte.

Grammarly
Grammarly.com est un outil de rédaction optimisé par l’IA qui aide les utilisateurs à mieux rédiger en leur proposant des vérifications grammaticales et orthographiques, en contrôlant la ponctuation et en leur fournissant d’autres conseils de rédaction. Le site dénombre plus de 30 millions d’utilisateurs quotidiens.

L’équipe de Salt Labs a examiné les appels d’API et a assimilé la terminologie utilisée par le site de Grammarly pour envoyer le code. Elle a réussi à manipuler l’échange d’API pour insérer du code servant à la vérification d’utilisateurs sur un autre site. Une fois de plus, elle a ainsi pu obtenir les informations d’identification d’un compte utilisateur et en prendre totalement le contrôle.

Après avoir découvert les vulnérabilités sur ces trois sites, les chercheurs de Salt Labs ont alors appliqué des pratiques de divulgation coordonnées et sont parvenus à corriger tous les problèmes.

« OAuth a connu un succès fulgurant dans le domaine de la sécurité des applications. Cette technologie est très vite devenue l’un des protocoles d’autorisation et d’authentification des utilisateurs les plus répandus », précise Yaniv Balmas, vice-président de la recherche de Salt Security. « Les travaux de recherche de Salt Labs montrent bien les impacts que les erreurs de mise en œuvre d’OAuth peuvent avoir sur une entreprise et ses clients. « Nous espérons que cette série de tests a contribué à informer l’industrie au sens large de la nature des erreurs potentielles de mise en œuvre d’OAuth. Nous espérons aussi avoir clarifié comment remédier à ces lacunes de sécurité liées aux API pour mieux protéger les données et utiliser OAuth de manière plus sécurisée ».

Le rapport de Salt Security sur l’état de la sécurité des API, 1er trimestre 2023, a fait état d’une augmentation de 400 % des attaquants uniques au cours des six derniers mois.43 % des répondants ont déclaré que le piratage des comptes (ATO) constituait un sujet de préoccupation majeur. La plateforme de protection des API de Salt Security est à ce jour la seule solution de sécurité des API qui allie la puissance des mégadonnées à l’échelle du cloud avec des algorithmes reconnus d’apprentissage automatique et d’IA pour détecter et mettre en échec les attaques d’API. Après avoir corrélé pendant une longue période les activités de millions d’API et d’utilisateurs, Salt peut désormais proposer un contexte approfondi basé sur une analyse en temps réel. Il dispose également d’informations continues sur les menaces et les vulnérabilités liées aux API, y compris celles décrites dans la liste des 10 principaux risques pour la sécurité des API établie par le projet OWASP.