Crédit photo : AFP

Paypal : une faille permet à des hackers de siphonner les comptes d’utilisateurs

À cause d’une faille de sécurité, des pirates peuvent siphonner le compte des utilisateurs de PayPal. Et ce, en seul clic.

h4x0r_dz, un chercheur en sécurité, a découvert une vulnérabilité dans le service de transfert d’argent de PayPal. Elle pourrait permettre aux attaquants d’inciter les victimes à effectuer, à leur insu, des transactions dirigées par les attaquants. En clair, l’attaquant “détourne” les clics destinés à la page légitime et les achemine vers une autre page, “très probablement détenue par une autre application, un autre domaine, ou les deux”, a écrit le chercheur en sécurité h4x0r_dz dans un article documentant les résultats. Selon lui, la faille de sécurité peut donc permettre à des pirates de recourir à une technique de clickjacking afin de détourner la vigilance de l’utilisateur.

Un détournement de clic

Le clickjacking ou “détournement de clic”, désigne une technique par laquelle un utilisateur est incité à cliquer sur des éléments de page web apparemment inoffensifs, comme des boutons. Et ce, dans le but de télécharger des logiciels malveillants, de le rediriger vers des sites web malveillants ou de divulguer des informations sensibles. Concrètement, le procédé se déroule en trois étapes.

D’abord, le pirate identifie sa cible et sélectionne une page non-protégée contre ce type d’attaque. Donc, une page qui permet de réaliser une action en cliquant sur un lien ou un bouton. Ensuite, l’attaquant intègre cette page dans une page malveillante qu’il maîtrise. Il ne lui reste plus qu’à faire en sorte que la victime clique sur un élément de la page, qui s’agit en réalité d’un bouton ou d’un lien provenant du site malveillant. Autrement dit, les pirates affichent un élément d’interface qui semble légitime dans une page web et incitent leur victime à cliquer.

Un clic malveillant, un paiement

Pour le cas de la faille de Paypal, h4x0r_dz, a découvert le problème sur le point de terminaison “www.paypal[.]com/agreements/approve”. “Ce point de terminaison est conçu pour les accords de facturation et il ne devrait accepter que billingAgreementToken. Mais au cours de mes tests approfondis, j’ai découvert que nous pouvons passer un autre type de jeton, et cela conduit à voler de l’argent du compte PayPal d’une victime”, a écrit h4x0r_dz.

En clair, un attaquant peut intégrer l’URL susmentionnée dans une iFrame. Ce qui amènerait une victime déjà connectée à un navigateur Web à transférer de l’argent sur un compte PayPal contrôlé par l’attaquant, en un simple clic. À savoir qu’une iFrame est le nom donné à une balise HTML utilisée dans le langage informatique pour intégrer dans une page HTML le contenu d’une autre page HTML. Autre point inquiétant : l’attaque a pu avoir des conséquences catastrophiques sur les portails Web qui interagissent avec PayPal pour les paiements. Les pirates auraient ainsi eu la possibilité de prélever des sommes arbitraires sur les comptes PayPal des victimes. Par exemple, cette faille peut amener la victime à créer et à payer un compte Netflix pour l’attaquant.

Le chercheur a également déclaré avoir signalé le problème à l’entreprise en octobre 2021. Pour le moment, le bug n’est toujours pas corrigé et le chercheur en sécurité n’a reçu aucune prime pour avoir signalé la faille.

_
Suivez Geeko sur Facebook, Youtube et Instagram pour ne rien rater de l'actu, des tests et bons plans.