Après Heartbleed, OAuth et Open ID touchés par une autre faille

De nombreux sites Internet utilisant le protocole de sécurité TLS ont été récemment victimes d’une attaque, par le biais d’une faille Heartbleed. Mais, le cauchemar est loin de s’achever : les serveurs des plateformes utilisant OAuth et Open ID sont à leur tour touchés par une faille de sécurité.

Des sites frauduleux utilisés par les pirates

Cette fois-ci, les serveurs des sites Web basés sur la version 2.0 d’OAuth et sur OpendID se trouvent affaiblis par une brèche détectée par un étudiant de l’université de Singapour : Wang OAuthJing. Cette dernière permet principalement de vous rediriger sur un site Web frauduleux, lorsque vous surfez particulièrement sur des sites proposant l’accès à un compte tiers. Une offre fréquente est de vous connecter à Facebook via une autre plateforme. Ainsi, en plus de vous faire bénéficier de plus d’applications, grâce à une telle démarche Microsoft entre autres facilite par exemple la recherche de vos contacts lorsque vous utilisez la messagerie instantanée sur Outlook.

La faille détectée au niveau des protocoles de connexion utilisant OAuth et Open ID a alors pour but de vous diriger vers une plateforme véreuse. Par exemple, depuis Microsoft, vous êtes bien redirigés sur Facebook. Cependant, l’URL de ce site se trouve changé de sorte qu’elle permette de vous diriger en même sur un faux site. Ce qui donne les opportunités aux hackers de détourner vos informations personnelles ou encore de prendre le contrôle de votre profil sur le réseau social célèbre.

Des plateformes du Web menacées

Cette faille s’attaquant aux serveurs basés sur OAuth et Open ID menace alors de grands sites où les informations sensibles sont particulièrement collectées. En plus de Facebook, il s’agit donc de Google, Yahoo, LinkedIn, Live.com et Mail.ru, Weibo et Paypal, en somme des réseaux regroupant des milliers d’utilisateurs qui partagent des données bancaires ou encore exposent davantage leur vie privée via les chats vidéo ou classiques.

Après Heartbleed, OAuth et Open ID touchés par une autre faille
Article utile ? votez

Laisser un commentaire