« Une vulnérabilité importante, ‘Covert Redirect’, liée à oAuth 2.0 et OpenID a été découverte. La plupart des fournisseurs de premier plan d’oAuth 2.0 et OpenID sont touchés, comme Facebook, Google, Yahoo, LinkedIn, Microsoft, PayPal, GitHub, QQ, Taobao, Weibo, VK, Mail.ru, Sohu, etc. »

Wahou. Il y a des chances qu’en publiant un site web et en attribuant un logo à sa faille, le doctorant en informatique de Singapour Wang Jing, ait cru avoir trouvé de l’or. Une faille de cette importance, sur une fonctionnalité aussi étendue, avait toutes les chances de créer une deuxième tempête médiatique, quelques semaines après Heartbleed.

Fausse découverte ?

Las, l’étudiant a bien déclenché la tempête… qui lui est finalement revenue en pleine face. Selon lui, il y a pourtant de quoi s’alarmer : « Cela pourrait mener à des attaques type ‘Open Redirect’ visant à la fois les clients et fournisseurs d’oAuth 2.0 et OpenID. »

Les deux protocoles, utilisés pour authentifier un utilisateur sur un service avec ses identifiants sur un fournisseur – les fameux « Facebook Connect », « Google Sign-In », etc – pourraient être détournés pour permettre une redirection d’URL au moment de l’authentification. Une porte ouverte au phishing et à la récupération d’informations personnelles, nom, prénom, âge, adresse, sexe et compagnie.

Las, des spécialistes de la sécurité s’en sont rapidement pris à la « découverte » de Wang Jing, estimant qu’il n’y avait rien de neuf, la faille ayant été documentée depuis longtemps, et que la plupart des sites et services étaient protégés. Pour eux, Wang Jing fait beaucoup de bruit autour d’une vulnérabilité qui n’en est pas une.

Moins de 1% du web

Une position résumée par un responsable de l’authentification chez Dell, Danny Thorpe, sur son compte Twitter : « Les sites web assez idiots pour implémenter une redirection ouverte ont de sérieux problèmes de sécurité. [Cela concerne] moins de 1% du web, à mon avis. »

Idem chez Symantec, qui ne voit rien ressemblant au « prochain Heartbleed » : « Covert Redirect nécessite qu’un attaquant trouve une application vulnérable et qu’il entre en interaction et obtienne les permissions des utilisateurs. » L’éditeur ajoute qu’il ne s’agit pas d’une vulnérabilité mais d’une faille, et qu’il suffit aux développeurs de verrouiller les URL de redirection ouverte pour la combler.

En clair, « ne vous attendez pas à un correctif », prévient Symantec. « C’est aux services de configurer leurs implémentations » pour éviter une éventuelle exploitation. Pour le reste, c’est tout de même une bonne piqûre de rappel quant à la nécessité d’être très judicieux dans les permissions accordées à des services tiers.

Via The Register

Source Article from http://www.zdnet.fr/actualites/covert-redirect-la-faille-pas-grave-d-oauth-et-openid-39800873.htm#xtor=RSS-1
Source:ZDNet News