Faille de sécurité sur OAuth et Open ID : Facebook, Google, Yahoo concernés
LinkedIn s'était mis à jour il y a deux semaines
Le 05 mai 2014 à 15h10
5 min
Logiciel
Logiciel
Sale temps pour la sécurité dans le domaine informatique. Après Heartbleed qui a secoué le web et les adeptes d'OpenSSL, c'est au tour d'OAuth et d'OpenID d'être victime d'une faille potentiellement dangereuse. Si ces services ne vous disent pas grand-chose de prime abord, sachez qu'ils sont utilisés de manière assez importantes par de nombreuses sociétés telles que Facebook, Google, Microsoft ou encore Paypal.
Il y a un mois presque jour pour jour, Heartbleed débarquait en trombe sur Internet. Pour rappel, il s'agit d'une faille touchant une extension d'OpenSSL permettant à n'importe qui de récupérer jusqu'à 64 ko de données aléatoires (non chiffrées), comprenant par exemple des mots de passe, des emails, des informations sur les comptes clients, etc. Si la faille a rapidement été corrigée, certains sites ont parfois mis plus de temps que d'autres à se mettre à jour et surtout à communiquer ouvertement sur le sujet.
Un détournement d'URL avec OAuth et Open ID, vos données personnelles en danger
Cette fois-ci, c'est au tour d'OAuth 2.0 et d'Open ID d'être sous le feu des projecteurs à cause d'une faille découverte par Wang Jing, un étudiant de Singapour. Elle permet en effet à une personne mal intentionnée de récupérer certaines de vos données personnelles. Pour rappel, ces deux services sont utilisés de manière assez importantes par des sociétés comme Facebook, Google, Yahoo, LinkedIn, Paypal, Twitter, etc, la liste est très longue et la portée de la faille est d'autant plus importante. Le premier est un standard qui permet par exemple d'utiliser des systèmes de connexion unifiés, ou même de relier une application tierce à un service en ligne. Le second se focalise plutôt sur la simple fonctionnalité de connexion unifiée.
Le hacker explique qu'il est possible pour un site malveillant de se faire passer pour un autre service afin d'accéder à certaines de vos données. Dans le cas de Facebook par exemple, vous aurez l'impression de valider une demande provenant d'un service connu comme Ask (voir la vidéo ci-dessous), alors que ce n'est pas le cas. Suivant le niveau d'autorisation accordé, le pirate aura alors accès à vos données de bases (nom, listes de vos amis, etc.), mais cela peut aller jusqu'à la prise de contrôle à distance.
Facebook et Google sont conscients de ce problème
L'étudiant précise avoir contacté les plus gros sites concernés, et il a obtenu des réponses qui vont toutes dans le même sens. En effet, Facebook indique qu'« il faut forcer l'application de la plateforme à utiliser une liste blanche, ce qui n'est pas quelque chose qui peut être mis en place à court terme ». Du côté de Google, on se déclare « conscient du problème », tandis que chez Microsoft on précise que, après enquête, cela ne touche pas directement leur site, mais des applications tierces et qu'il faut donc se tourner vers ces dernières.
Comme le soulignent Wang Jing et Microsoft, le problème ne concerne en fait pas directement les sites qui détiennent les clés de votre compte, mais les autorisations accordées aux applications tierces et la façon dont ils implémentent OAuth ou OpenID. Il est donc facile de reporter la faute sur ces dernières. Mais l'étudiant précise que « comme Internet devient de plus en plus connecté, il ne suffit plus d'assurer la sécurité sur son propre site, il faut également faire attention à celle de ses voisins », un point sur lequel nous ne pouvons que le rejoindre.
LinkedIn a mis en place une liste blanche il y a deux semaines
Pour autant, une solution existe, mais c'est « plus facile à dire qu'à faire » avoue le hacker. LinkedIn l'a déjà mise en place depuis près de deux semaines par exemple : une liste blanche des URL autorisées, ce qui permet de stopper net les détournements d'URL.
Sur son blog dédié au développeur, la société a en effet indiqué que, à partir du 11 avril 2014, les URL qui n'auront pas été validées ne seront plus autorisées à exploiter son service. Un travail qui nécessite donc une certaine préparation en amont, autant pour les applications tierces que pour les sites concernés, et qu'il est donc difficile à mettre en place du jour au lendemain.
Comme toujours, la meilleure arme reste la prudence
En attendant, il convient donc d'être prudent sur les liens que vous suivez et les autorisations que vous accordez, ce qui est finalement valable en toute circonstance et pas seulement lorsqu'une faille est découverte. Si vous n'êtes pas sûr de ce que vous faites, le mieux est encore d'arrêter la manipulation en cours et de vous renseigner avant de faire une erreur qui pourrait se payer cher.
Voici pour finir quelques vidéos mises en ligne par Wang Jing servant à la fois d'explication détaillée et de PoC (Proof of Concept), nous les avons regroupées au sein d'une même liste de lecture :
Faille de sécurité sur OAuth et Open ID : Facebook, Google, Yahoo concernés
-
Un détournement d'URL avec OAuth et Open ID, vos données personnelles en danger
-
Facebook et Google sont conscients de ce problème
-
LinkedIn a mis en place une liste blanche il y a deux semaines
-
Comme toujours, la meilleure arme reste la prudence
Commentaires (13)
Vous devez être abonné pour pouvoir commenter.
Déjà abonné ? Se connecter
Abonnez-vousLe 05/05/2014 à 15h14
Chaud les marrons les experts sécurités ces temps-ci.
Le 05/05/2014 à 15h24
Bien moins grave que Heartbleed, mais il va falloir faire gaffe à quelles applications on a donné l’autorisation en effet " />
Le 05/05/2014 à 15h33
Comme toujours, la meilleure arme reste la prudence de ne pas utiliser leurs services.
" />
Le 05/05/2014 à 15h34
Le 05/05/2014 à 15h45
Le 05/05/2014 à 15h53
Et beh, c’est “journées portes ouvertes” en ce moment ! " />
Le 05/05/2014 à 16h15
C’est qui le prochain ? " />
Le 05/05/2014 à 17h34
ça commence à devenir lourdingue leurs conneries.
Le 05/05/2014 à 18h41
Chaque fois certains semblent surpris… La base en sécurité est pourtant de savoir “quand la faille sera trouvée” et non “si il y a une faille ou non”.
La façon dont on communique buzz dessus, ça par contre ça a changé " />
Le 05/05/2014 à 23h19
N’importe quoi. La faille n’est pas dans OAuth ou OpenID mais du côté des éditeurs tiers qui permettent une redirection vers n’importe quelle URL depuis leurs serveurs.
Donc ni OAuth ni OpenID n’ont de faille, ni Facebook ou Google. Le souci c’est les éditeurs tiers qui utilisent leurs APIs et permettent n’importe quoi.
De bonnes explications ici :https://security.stackexchange.com/questions/57143/can-someone-explain-the-cover…
Le 06/05/2014 à 04h24
J’espère que les auteurs de ces codes foireux seront poursuivis et qu’il y aura des condamations, quand il y a un vice de fabrication dans l’immobilier, l’architecte est poursuivi, il n’y a pas de raison qu’internet soit une zone de non-droit pour les développeurs.
Le 06/05/2014 à 12h27
Le 06/05/2014 à 12h33