Archives par mot-clé : faille api

Failles de sécurité sur le site Booking.com

Des chercheurs ont identifié des vulnérabilités chez Booking.com qui auraient pu permettre à des acteurs malveillants dusurper des comptes dutilisateurs, dexfiltrer des données de comptes privées, dannuler ou deffectuer des réservations, ainsi que dautres actions à la place de lutilisateur.

De nombreuses failles de sécurité ont été découvertes par des chercheurs sur le site Booking.com. Ces failles, décelées dans limplémentation du protocole Open Authorization (OAuth) utilisé par Booking.com, étaient susceptibles daffecter les utilisateurs se connectant au site depuis leur compte Facebook. Les erreurs de configuration de la fonctionnalité OAuth auraient ainsi pu mener à des usurpations massives de comptes clients (ATO), mais également à la compromission des serveurs, avec notamment les conséquences suivantes :

●      Manipulation des utilisateurs de la plateforme en vue de prendre le contrôle total de leurs comptes (ATO)

●      Fuite dinformations personnelles (PII) et autres données sensibles stockées en interne par les sites

●      Exécution dactions à la place de lutilisateur, par exemple une réservation ou une annulation, ou encore la réservation dun moyen de transport

Lanalyse des vulnérabilités a été conduite et remise par Salt Labs, le laboratoire de recherche de Salt Security à lorigine de la découverte, qui met par ailleurs à disposition du public un forum sur la sécurité des API.

Connexion via un compte de réseau social

Cest au sein de la fonctionnalité de connexion via un compte de réseau social, utilisée par booking.com et implémentée au moyen du protocole standard nommé « OAuth », que les chercheurs ont identifié les failles. Populaire sur les sites et services web, OAuth permet aux utilisateurs de se connecter à dautres sites via leurs comptes de réseaux sociaux, le tout en un clic, ce qui représente un gain de temps par rapport à la méthode « classique » consistant à sinscrire et à sauthentifier avec un identifiant et un mot de passe.

Si OAuth offre lavantage dune expérience simplifiée sur les sites web, la fonctionnalité présente en contrepartie un back-end technique complexe pouvant donner lieu à des failles exploitables. Cest le constat établi par les chercheurs de Salt Labs après avoir manipulé la séquence OAuth sur le site Booking.com, ce qui leur a permis de pirater des sessions et dusurper des comptes dans le but de subtiliser des données et dagir à la place des utilisateurs.

Dès lors quil se connecte via Facebook, nimporte quel utilisateur de Booking.com est donc susceptible den faire les frais. Etant donné la popularité de loption « Se connecter avec Facebook », le nombre de victimes potentielles se compte rapidement en millions. Mais la liste des utilisateurs à risque ne sarrête pas là : le site Kayak.com (détenu par la même société, Booking Holdings Inc.) permet en effet à ses utilisateurs de se connecter à laide de leurs identifiants Booking.com, les exposant logiquement aux mêmes manœuvres.

Après cette découverte, les chercheurs de Salt Labs ont suivi un protocole strict visant à transmettre leurs conclusions à Booking.com. Résultat de cette action coordonnée : les failles ont été rapidement corrigées, et rien nindique à ce jour quelles ont été exploitées.

« OAuth sest rapidement imposé comme la norme dans le secteur, et des centaines de milliers de services lutilisent chaque jour à travers le monde », déclare Yaniv Balmas, VP Recherche, Salt Security. « En conséquence de quoi les erreurs de configuration dOAuth peuvent avoir des répercussions majeures sur les entreprises et les clients en raison de lexposition de données précieuses. Aucun site web nest infaillible, et leur rapide expansion cache à de nombreuses organisations la multitude de risques de sécurité qui affaiblissent leurs plateformes. »