Quelques semaines seulement après la découverte du bug Heartbleed,
les utilisateurs moyens comme vous et moi pourraient s’inquiéter d’un
autre problème très répandu qui ne sera pas facile à réparer. Il s’agit
du bug « Covert Redirect » récemment révélé par Wang Jing,
un étudiant en doctorat de mathématiques à l’université de technologie
de Nanyang à Singapour. Le problème a été détecté au sein des célèbres
protocoles Internet OpenID et OAuth. Le premier est utilisé quand vous
vous identifiez dans des sites qui utilisent vos profils Google,
Facebook, LinkedIn, etc. Le deuxième est utilisé quand vous vous
autorisez des sites, des applications ou des services avec
Facebook/G+/etc., sans révéler pour autant votre mot de passe à ces
sites externes. Ces deux protocoles sont utilisés ensemble et vous
pourriez bien être en train de communiquer vos informations aux
mauvaises personnes.
La menace
Nos amis de Threatpost
ont une explication du problème plus technique ainsi qu’un lien vers la
recherche originale, mais nous vous épargnerons les détails inutiles et
allons vous décrire le possible scénario d’attaque et ces conséquences.
Premièrement, dans le cas où un utilisateur visiterait un site
d’hameçonnage qui utilise le bouton « S’identifier avec Facebook ». Un
site peut ressembler de prêt à un service populaire ou se faire passer
pour un tout nouveau service. Ensuite, une vraie fenêtre
Facebook/G+/LinkedIn s’ouvrira, demandant à l’utilisateur de rentrer son
nom d’utilisateur et son mot de passe afin d’autoriser le service à
accéder au profil de l’utilisateur. Enfin, l’autorisation d’utiliser le
profil est envoyée au mauvais site (d’hameçonnage) en utilisant une
redirection incorrecte.
Une vraie
fenêtre Facebook/G+/LinkedIn s’ouvrira, demandant à l’utilisateur de
rentrer son nom d’utilisateur et son mot de passe afin d’autoriser le
service à accéder au profil de l’utilisateur.
En
fin de compte, un cybercriminel reçoit l’autorisation d’accéder au
profil de la victime (jeton OAuth) avec toutes les permissions que les
applications ont en général, et dans le pire des cas, avec l’habilité
d’accéder aux contacts de l’utilisateur, d’envoyer des messages, etc.
Est-ce réparé ? Pas vraiment.
Cette
menace ne disparaîtra pas de si tôt, car la réparation devra être aussi
bien réalisée du côté du fournisseur (Facebook, LinkedIn, Google, etc.)
que du côté du client (le service ou l’application externe). Le
protocole OAuth est toujours en version Beta et plusieurs fournisseurs
utilisent différentes mises en place qui varient selon leur habilité de
contre-attaquer l’attaque mentionnée précédemment. LinkedIn est mieux
positionné pour mettre en place la réparation et gère les choses de
manière plus stricte en exigeant
que le développeur du service externe fournisse une « liste blanche »
des redirections correctes. Pour le moment, chaque application qui
utilise une autorisation LinkedIn est soit sécurisée soit non
fonctionnelle. Les choses sont différentes pour Facebook qui dispose
malheureusement d’un très grand nombre d’applications externes et
peut-être d’une version de OAuth plus ancienne. C’est pourquoi les
porte-paroles de Facebook ont informé Jing que la création d’une liste
blanche « n’est pas quelque chose qui pourra être mis en place à court
terme ».
Il existe de nombreux autres fournisseurs qui
semblent être vulnérables (regardez la photo), donc si vous vous
identifiez dans certains sites en utilisant ces services, vous devez
prendre des mesures.
Votre plan d’action
Pour
les plus prudents, la solution infaillible serait d’abandonner
l’utilisation d’OpenID et ces fameux boutons « S’identifier avec… »
pendant quelques mois. Cela vous permettra peut-être également de
renforcer votre confidentialité, car autoriser ces identifications sur
des réseaux sociaux rend votre activité en ligne plus facile à suivre et
permet à de plus en plus de sites de lire vos données démographiques de
base. Pour éviter d’avoir à mémoriser différents identifiants sur tous
ces sites, commencez à utiliser un gestionnaire de mots de passe
efficace. La plupart des services, de nos jours, sont équipés de clients
multiplateformes et de synchronisation avec le Cloud afin de garantir
un accès à vos mots de passe sur tous les ordinateurs que vous possédez.
Néanmoins,
si vous avez l’intention de continuer à utiliser l’autorisation OpenID,
il n’y a pas de danger immédiat. Vous devez juste faire attention et
éviter les arnaques d’hameçonnage qui commencent typiquement par un
message étrange dans votre boîte de réception ou par un lien provocateur
sur Facebook et autres réseaux sociaux. Si vous vous authentifiez dans
un service utilisant Facebook/Google/etc., assurez-vous que vous accédez
au site de ce service en tapant l’adresse manuellement ou en utilisant
un marque page, et non pas le lien contenu dans vos e-mails ou votre
messagerie. Vérifiez bien la barre d’adresse afin de ne pas vous rendre
sur des sites louches et ne souscrivez pas de nouveaux services avec
OpenID, sauf si vous êtes certain à 100% que le service est réputé et
qu’il s’agit bien du bon site. De plus, nous vous conseillons d’utiliser
une solution de navigation sécurisée telle que Kaspersky Internet
Security – Multi-Device qui empêchera votre navigateur de visiter des
endroits dangereux tels que des sites d’hameçonnage.
Il
s’agit juste de mesures de précaution, que tous les utilisateurs
Internet devraient prendre chaque jour, car les menaces d’hameçonnage
sont très répandues et efficaces et peuvent mener à toutes sortes de
pertes numériques, y compris à la perte de numéros de carte bancaire,
d’identifiants de messagerie, etc. Le bug « Covert Redirect » dans
OpenID et OAuth n’est qu’une raison supplémentaire de les suivre, et ce,
sans exception.
articles Liés:
http://blog.kaspersky.fr/des-vulnerabilites-pour-les-boutons-types-sidentifier-avec-facebook/2984/
http://blog.kaspersky.fr/des-vulnerabilites-pour-les-boutons-types-sidentifier-avec-facebook/2984/
http://tetraph.tumblr.com/
http://webtechhut.blogspot.com/2014/12/continuan-los-problemas-oauth-y-openid.html
http://webtechhut.blogspot.com/2014/12/continuan-los-problemas-oauth-y-openid.html
Looking for the best fitness tracker for you? We’ve put together the ultimate guide to the best activity trackers and fitness bands on the market right here. Whether you’re an experienced athlete or an absolute fitness beginner, you’ll find what you need.best fitness tracker
ReplyDeleteur work is very good and I appreciate you and hopping for some more informative posts. Thank you for sharing great information to us. Also check for best weight bench for home.
ReplyDeleteGood job, WANG Jing! Some might find your information on typical buttons to be lacking in-depth analyses. But I’m certainly not one of them. I’m thinking about using some of your Vulnerabilities for a whitepaper that I would share via Benches Review, our website for our community.
ReplyDelete
ReplyDeleteAfter spending some time reading your article on button, I got to say you, hello. I think it’ll save me serious time doing the research for one of the resources for our community as well as the website.
Thanks for sharing the article.
mdtanvirahmmed