Faille de sécurité sur OAuth et Open ID : Facebook, Google, Yahoo concernés

Sale temps pour la sécurité dans le domaine informatique. Après Heartbleed qui a secoué le web et les adeptes d'OpenSSL, c'est au tour d'OAuth et d'OpenID d'être victime d'une faille potentiellement dangereuse. Si ces services ne vous disent pas grand-chose de prime abord, sachez qu'ils sont utilisés de manière assez importantes par de nombreuses sociétés telles que Facebook, Google, Microsoft ou encore Paypal.

Il y a un mois presque jour pour jour, Heartbleed débarquait en trombe sur Internet. Pour rappel, il s'agit d'une faille touchant une extension d'OpenSSL permettant à n'importe qui de récupérer jusqu'à 64 ko de données aléatoires (non chiffrées), comprenant par exemple des mots de passe, des emails, des informations sur les comptes clients, etc. Si la faille a rapidement été corrigée, certains sites ont parfois mis plus de temps que d'autres à se mettre à jour et surtout à communiquer ouvertement sur le sujet. 

Un détournement d'URL avec OAuth et Open ID, vos données personnelles en danger 

Cette fois-ci, c'est au tour d'OAuth 2.0 et d'Open ID d'être sous le feu des projecteurs à cause d'une faille découverte par Wang Jing, un étudiant de Singapour. Elle permet en effet à une personne mal intentionnée de récupérer certaines de vos données personnelles. Pour rappel, ces deux services sont utilisés de manière assez importantes par des sociétés comme Facebook, Google, Yahoo, LinkedIn, Paypal, Twitter, etc, la liste est très longue et la portée de la faille est d'autant plus importante. Le premier est un standard qui permet par exemple d'utiliser des systèmes de connexion unifiés, ou même de relier une application tierce à un service en ligne. Le second se focalise plutôt sur la simple fonctionnalité de connexion unifiée.

Le hacker explique qu'il est possible pour un site malveillant de se faire passer pour un autre service afin d'accéder à certaines de vos données. Dans le cas de Facebook par exemple, vous aurez l'impression de valider une demande provenant d'un service connu comme Ask (voir la vidéo ci-dessous), alors que ce n'est pas le cas. Suivant le niveau d'autorisation accordé, le pirate aura alors accès à vos données de bases (nom, listes de vos amis, etc.), mais cela peut aller jusqu'à la prise de contrôle à distance.

Facebook et Google sont conscients de ce problème

L'étudiant précise avoir contacté les plus gros sites concernés, et il a obtenu des réponses qui vont toutes dans le même sens. En effet, Facebook indique qu'« il faut forcer l'application de la plateforme à utiliser une liste blanche, ce qui n'est pas quelque chose qui peut être mis en place à court terme ». Du côté de Google, on se déclare « conscient du problème », tandis que chez Microsoft on précise que, après enquête, cela ne touche pas directement leur site, mais des applications tierces et qu'il faut donc se tourner vers ces dernières.

Comme le soulignent Wang Jing et Microsoft, le problème ne concerne en fait pas directement les sites qui détiennent les clés de votre compte, mais les autorisations accordées aux applications tierces et la façon dont ils implémentent OAuth ou OpenID. Il est donc facile de reporter la faute sur ces dernières. Mais l'étudiant précise que « comme Internet devient de plus en plus connecté, il ne suffit plus d'assurer la sécurité sur son propre site, il faut également faire attention à celle de ses voisins », un point sur lequel nous ne pouvons que le rejoindre.

LinkedIn a mis en place une liste blanche il y a deux semaines

Pour autant, une solution existe, mais c'est « plus facile à dire qu'à faire » avoue le hacker. LinkedIn l'a déjà mise en place depuis près de deux semaines par exemple : une liste blanche des URL autorisées, ce qui permet de stopper net les détournements d'URL.

Sur son blog dédié au développeur, la société a en effet indiqué que, à partir du 11 avril 2014, les URL qui n'auront pas été validées ne seront plus autorisées à exploiter son service. Un travail qui nécessite donc une certaine préparation en amont, autant pour les applications tierces que pour les sites concernés, et qu'il est donc difficile à mettre en place du jour au lendemain.

Comme toujours, la meilleure arme reste la prudence

En attendant, il convient donc d'être prudent sur les liens que vous suivez et les autorisations que vous accordez, ce qui est finalement valable en toute circonstance et pas seulement lorsqu'une faille est découverte. Si vous n'êtes pas sûr de ce que vous faites, le mieux est encore d'arrêter la manipulation en cours et de vous renseigner avant de faire une erreur qui pourrait se payer cher.

Voici pour finir quelques vidéos mises en ligne par Wang Jing servant à la fois d'explication détaillée et de PoC (Proof of Concept), nous les avons regroupées au sein d'une même liste de lecture :