Des chercheurs ont identifié des vulnérabilités chez Booking.com qui auraient pu permettre à des acteurs malveillants d‘usurper des comptes d’utilisateurs, d’exfiltrer des données de comptes privées, d’annuler ou d’effectuer des réservations, ainsi que d’autres actions à la place de l’utilisateur.
De nombreuses failles de sécurité ont été découvertes par des chercheurs sur le site Booking.com. Ces failles, décelées dans l’implémentation du protocole Open Authorization (OAuth) utilisé par Booking.com, étaient susceptibles d’affecter les utilisateurs se connectant au site depuis leur compte Facebook. Les erreurs de configuration de la fonctionnalité OAuth auraient ainsi pu mener à des usurpations massives de comptes clients (ATO), mais également à la compromission des serveurs, avec notamment les conséquences suivantes :
● Manipulation des utilisateurs de la plateforme en vue de prendre le contrôle total de leurs comptes (ATO)
● Fuite d’informations personnelles (PII) et autres données sensibles stockées en interne par les sites
● Exécution d’actions à la place de l’utilisateur, par exemple une réservation ou une annulation, ou encore la réservation d’un moyen de transport
L’analyse des vulnérabilités a été conduite et remise par Salt Labs, le laboratoire de recherche de Salt Security à l’origine de la découverte, qui met par ailleurs à disposition du public un forum sur la sécurité des API.
Connexion via un compte de réseau social
C’est au sein de la fonctionnalité de connexion via un compte de réseau social, utilisée par booking.com et implémentée au moyen du protocole standard nommé « OAuth », que les chercheurs ont identifié les failles. Populaire sur les sites et services web, OAuth permet aux utilisateurs de se connecter à d’autres sites via leurs comptes de réseaux sociaux, le tout en un clic, ce qui représente un gain de temps par rapport à la méthode « classique » consistant à s’inscrire et à s’authentifier avec un identifiant et un mot de passe.
Si OAuth offre l’avantage d’une expérience simplifiée sur les sites web, la fonctionnalité présente en contrepartie un back-end technique complexe pouvant donner lieu à des failles exploitables. C’est le constat établi par les chercheurs de Salt Labs après avoir manipulé la séquence OAuth sur le site Booking.com, ce qui leur a permis de pirater des sessions et d’usurper des comptes dans le but de subtiliser des données et d’agir à la place des utilisateurs.
Dès lors qu’il se connecte via Facebook, n’importe quel utilisateur de Booking.com est donc susceptible d’en faire les frais. Etant donné la popularité de l’option « Se connecter avec Facebook », le nombre de victimes potentielles se compte rapidement en millions. Mais la liste des utilisateurs à risque ne s’arrête pas là : le site Kayak.com (détenu par la même société, Booking Holdings Inc.) permet en effet à ses utilisateurs de se connecter à l’aide de leurs identifiants Booking.com, les exposant logiquement aux mêmes manœuvres.
Après cette découverte, les chercheurs de Salt Labs ont suivi un protocole strict visant à transmettre leurs conclusions à Booking.com. Résultat de cette action coordonnée : les failles ont été rapidement corrigées, et rien n’indique à ce jour qu’elles ont été exploitées.
« OAuth s’est rapidement imposé comme la norme dans le secteur, et des centaines de milliers de services l’utilisent chaque jour à travers le monde », déclare Yaniv Balmas, VP Recherche, Salt Security. « En conséquence de quoi les erreurs de configuration d’OAuth peuvent avoir des répercussions majeures sur les entreprises et les clients en raison de l’exposition de données précieuses. Aucun site web n’est infaillible, et leur rapide expansion cache à de nombreuses organisations la multitude de risques de sécurité qui affaiblissent leurs plateformes. »
