Une nouvelle vulnérabilité de grande envergure vient d'être découverte. Celle-ci touche les modules de connexion basés sur les protocoles OAuth et OpenID
Get Started for FREE
Sign up with Facebook Sign up with X
I don't have a Facebook or a X account
Your new post is loading...
Your new post is loading...
|
La faille en question permet à un hacker malintentionné d'envoyer la victime vers un site frauduleux puis de lui présenter un pop-up de connexion classique. Plutôt que de présenter une fausse URL, le pop-up présente le domaine légitime du fournisseur d'informations, par exemple Facebook. Toutefois cette URL est modifiée pour contenir également une redirection vers un autre site frauduleux. Ce dernier sera spécialement conçu pour récupérer le certificat retourné par Facebook et disposant de toutes les autorisations permettant de collecter des informations sensibles, qu'il s'agisse d'une adresse email, d'une liste de contacts... En fonction des droits d'accès demandés par le hacker, celui-ci pourrait même gérer le profil de la victime à son insu.