Si vous êtes un adepte du Web, vous avez surement déjà croisé un “Social Login’, c’est à dire un protocole d’authentification étant propriété de services tels que Google, Facebook, Twitter, LinkedIn, Slashdot, etc. Explication sur une attaque d’un nouveau genre par l’équipe d’IBM X-Force.
Ces protocoles d’authentification se rencontre un peu partout sur les sites nécessitant de créer un compte. Ils peuvent être utilisés pour la création d’un compte comme pour la connexion. Relativement simple à mettre en place grâce aux API fournies, le social login est assez répandu et les internautes en sont friands car cela est plus rapide que de devoir renseigner un formulaire complet…
Plutôt pratique, sauf que, seulement voilà, sur certains sites mal conçus, un pirate informatique peut accéder à votre compte sans avoir besoin de grandes compétences techniques. Voici ce qu’ont découvert les chercheurs de l’équipe d’IBM X-Force.
Le processus est simple et effrayant d’efficacité ! En gros, un attaquant pourrait aller créer un compte sur un réseau social où vous n’êtes pas inscrit (avec votre adresse mail), sans prendre la peine de confirmer le mail (tant mieux puisqu’il n’a pas accès à votre boite mail, du moins on l’espère). C’est là que la “magie” opère : il va ensuite pouvoir utiliser le compte qu’il vient de créer à votre nom pour aller se connecter sur un service externe où vous serez déjà inscrit ! Et oui, ça peut faire mal du coup…
Une illustration valant mieux que des explications, voici un schéma explicatif suivi d’une vidéo de démonstration :
Le problème se situe en fait sur les services offrants ce protocole : ils ne vérifient pas les comptes et accepte une authentification trop rapidement, ouvrant ainsi les portes à des possibilité d’usurpation d’identité. Pourquoi les comptes dont les mails ne sont pas vérifiés sont-il acceptés ? Le mystère reste entier !
Un livre blanc contenant tous les détails techniques est disponible ici. Pour se protéger, c’est assez trivial étant donné qu’il faudrait soit s’inscrire sur tous les services proposant un social login, soit utiliser systématiquement une adresse mail différente pour chaque inscription sur ce type de service. Dur dur… espérons une correction rapide.
Sources : Korben, Security Intelligence
Les commentaires sont fermés.