Une nouvelle menace XSS exploite les connexions sociales OAuth, mettant en danger des millions de sites Web
Salt Labs, la branche de recherche de la société de sécurité API Salt Security, a récemment découvert une importante vulnérabilité de script intersite (XSS) susceptible d'affecter des millions de sites Web dans le monde. Contrairement à une vulnérabilité de produit qui peut être corrigée de manière centralisée, ce problème provient de la mise en œuvre d'OAuth, une application largement utilisée pour les connexions sociales, dans le code Web. Malgré la croyance commune parmi les développeurs selon laquelle les menaces XSS appartiennent au passé, les conclusions de Salt Labs mettent en évidence une surveillance critique de la sécurité Web.
Table des matières
La complaisance de la familiarité
La facilité de mise en œuvre d'OAuth pour les connexions sociales a conduit à un sentiment de complaisance parmi les développeurs. Cette familiarité peut cependant conduire à des erreurs importantes. L’enjeu fondamental réside dans l’introduction de nouvelles technologies et de nouveaux procédés dans un écosystème existant, susceptibles de perturber l’équilibre établi. Il ne s’agit pas d’un défaut d’OAuth lui-même, mais de la manière dont il est implémenté sur différents sites Web. Salt Labs a découvert que sans soin et rigueur méticuleux, l'utilisation d'OAuth peut créer une nouvelle route XSS qui contourne les mesures d'atténuation actuelles, conduisant potentiellement à des rachats complets de comptes.
Études de cas : HotJar et Business Insider
Les recherches de Salt Labs se sont concentrées sur les implémentations de deux sociétés de premier plan : HotJar et Business Insider. Ces sociétés ont été choisies en raison de leurs mesures de sécurité substantielles et de la quantité importante d'informations personnelles identifiables (PII) qu'elles traitent. Si ces grandes entreprises parviennent à mal mettre en œuvre OAuth , la probabilité que des sites Web plus petits et moins dotés en ressources commettent des erreurs similaires est élevée. Yaniv Balmas, vice-président de la recherche chez Salt Security, a révélé que des problèmes OAuth similaires ont été trouvés sur des sites Web tels que Booking.com, Grammarly et OpenAI, bien qu'ils n'aient pas été inclus dans le rapport.
HotJar, en particulier, a été mis en avant en raison de la saturation importante de son marché et des grandes quantités de données utilisateur qu'il collecte. Fonctionnant de manière similaire à Google Analytics, HotJar enregistre les données de session utilisateur, notamment les captures d'écran, les clics du clavier et les actions de la souris. Ces données peuvent englober des informations sensibles telles que des noms, des e-mails, des adresses, des messages privés, des coordonnées bancaires et des informations d'identification. La vulnérabilité découverte permet aux attaquants d'exploiter le processus de connexion sociale OAuth en falsifiant et en interceptant les secrets de connexion, obtenant ainsi un accès non autorisé aux comptes d'utilisateurs.
La méthodologie d'attaque
La méthode d'attaque consiste à combiner XSS avec le flux de connexion OAuth. Un lien contrefait imitant une demande légitime de connexion sociale HotJar lance l’attaque. Lorsqu'une victime clique sur ce lien, l'attaquant peut intercepter les secrets de connexion, conduisant ainsi à un piratage complet du compte. Cette vulnérabilité souligne l’importance des pratiques de mise en œuvre sécurisées, que de nombreux sites Web négligent ou n’ont pas l’expertise nécessaire pour mettre en œuvre.
Mesures et outils proactifs
En réponse à ces résultats, Salt Labs a publié ses méthodologies et un outil d'analyse gratuit pour aider les opérateurs de sites Web à identifier et à résoudre les problèmes potentiels de mise en œuvre d'OAuth XSS. Cette approche proactive vise à atténuer les risques avant qu’ils ne dégénèrent en failles de sécurité importantes. Même si Balmas prévient qu'un succès à 100 % ne peut être garanti, l'outil fournit un système d'alerte précoce précieux permettant aux organisations de renforcer leur posture de sécurité.
La découverte de Salt Labs nous rappelle brutalement que même des technologies largement fiables comme OAuth nécessitent une mise en œuvre diligente et sécurisée. À mesure que le paysage numérique continue d’évoluer, notre vigilance et notre engagement en faveur de pratiques de cybersécurité robustes doivent également l’être.