{"id":986813,"date":"2023-10-25T15:26:42","date_gmt":"2023-10-25T17:26:42","guid":{"rendered":"https:\/\/teknomers.com\/fr\/des-failles-oauth-critiques-decouvertes-dans-les-plateformes-grammarly-vidio-et-bukalapak\/"},"modified":"2023-10-25T15:26:46","modified_gmt":"2023-10-25T17:26:46","slug":"des-failles-oauth-critiques-decouvertes-dans-les-plateformes-grammarly-vidio-et-bukalapak","status":"publish","type":"post","link":"https:\/\/teknomers.com\/fr\/des-failles-oauth-critiques-decouvertes-dans-les-plateformes-grammarly-vidio-et-bukalapak\/","title":{"rendered":"Des failles OAuth critiques d\u00e9couvertes dans les plateformes Grammarly, Vidio et Bukalapak"},"content":{"rendered":"<p> <br \/>\n<\/p>\n<div>\n<p><span class=\"p-author\"><i class=\"icon-font icon-calendar\">\ue802<\/i><span class=\"author\">25 octobre 2023<\/span><i class=\"icon-font icon-user\">\ue804<\/i><span class=\"author\">R\u00e9daction<\/span><\/span><\/p>\n<\/div>\n<div id=\"articlebody\">\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/10\/Des-failles-OAuth-critiques-decouvertes-dans-les-plateformes-Grammarly-Vidio.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><\/a><\/div>\n<p>Des failles de s\u00e9curit\u00e9 critiques ont \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9es dans la mise en \u0153uvre de l&#8217;autorisation ouverte (OAuth) de services en ligne populaires tels que Grammarly, Vidio et Bukalapak, s&#8217;appuyant sur les lacunes pr\u00e9c\u00e9dentes d\u00e9couvertes dans Booking.[.]com et Expo.<\/p>\n<p>Les faiblesses, d\u00e9sormais corrig\u00e9es par les soci\u00e9t\u00e9s respectives apr\u00e8s une divulgation responsable entre f\u00e9vrier et avril 2023, auraient pu permettre \u00e0 des acteurs malveillants d&#8217;obtenir des jetons d&#8217;acc\u00e8s et potentiellement de d\u00e9tourner des comptes d&#8217;utilisateurs.<\/p>\n<p>OAuth est un <a rel=\"nofollow noopener\" href=\"https:\/\/www.varonis.com\/blog\/what-is-oauth\" target=\"_blank\">standard<\/a> il est couramment utilis\u00e9 comme m\u00e9canisme d&#8217;acc\u00e8s entre applications, permettant \u00e0 des sites Web ou \u00e0 des applications d&#8217;acc\u00e9der \u00e0 leurs informations sur d&#8217;autres sites Web, tels que Facebook, mais sans leur donner les mots de passe.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/moon-i-3.1\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/10\/Cisco-met-en-garde-contre-une-vulnerabilite-dans-les-logiciels.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>&#8220;Lorsque OAuth est utilis\u00e9 pour fournir une authentification de service, toute faille de s\u00e9curit\u00e9 peut entra\u00eener un vol d&#8217;identit\u00e9, une fraude financi\u00e8re et l&#8217;acc\u00e8s \u00e0 diverses informations personnelles, notamment des num\u00e9ros de carte de cr\u00e9dit, des messages priv\u00e9s, des dossiers de sant\u00e9, etc., en fonction du service sp\u00e9cifique utilis\u00e9. attaqu\u00e9&#8221;, Aviad Carmel, chercheur en s\u00e9curit\u00e9 chez Salt <a rel=\"nofollow noopener\" href=\"https:\/\/salt.security\/blog\/oh-auth-abusing-oauth-to-take-over-millions-of-accounts\" target=\"_blank\">dit<\/a>.<\/p>\n<p>Le probl\u00e8me identifi\u00e9 dans Vidio vient d&#8217;une absence de v\u00e9rification du token, ce qui signifie qu&#8217;un attaquant peut utiliser un token d&#8217;acc\u00e8s g\u00e9n\u00e9r\u00e9 pour un autre <a rel=\"nofollow noopener\" href=\"https:\/\/www.facebook.com\/business\/help\/483723611740081?id=1858550721111595\" target=\"_blank\">Identifiant de l&#8217;application<\/a>un identifiant al\u00e9atoire cr\u00e9\u00e9 par Facebook pour chaque application ou site Web enregistr\u00e9 sur son portail de d\u00e9veloppeurs.<\/p>\n<div class=\"separator\" style=\"clear: both;\"><a rel=\"nofollow\" href=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/10\/1698254802_32_Des-failles-OAuth-critiques-decouvertes-dans-les-plateformes-Grammarly-Vidio.jpg\" style=\"clear: left; display: block; float: left; text-align: center;\"><img decoding=\"async\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/10\/1698254802_32_Des-failles-OAuth-critiques-decouvertes-dans-les-plateformes-Grammarly-Vidio.jpg\" alt=\"Failles OAuth\" border=\"0\" data-original-height=\"367\" data-original-width=\"728\" title=\"Failles OAuth\"\/><\/a><\/div>\n<p>Dans un sc\u00e9nario d&#8217;attaque potentiel, un acteur malveillant pourrait cr\u00e9er un site Web malveillant offrant une option de connexion via Facebook pour collecter les jetons d&#8217;acc\u00e8s et les utiliser ensuite contre Vidio.com (qui porte l&#8217;ID d&#8217;application 92356), permettant ainsi le contr\u00f4le complet du compte. .<\/p>\n<p>La soci\u00e9t\u00e9 de s\u00e9curit\u00e9 API a d\u00e9clar\u00e9 avoir \u00e9galement d\u00e9couvert un probl\u00e8me similaire avec la v\u00e9rification des jetons sur Bukalapak.com via la connexion Facebook, qui pourrait entra\u00eener un acc\u00e8s non autoris\u00e9 au compte.<\/p>\n<div class=\"check_two clear babsi\"><center class=\"cf\"><a rel=\"nofollow noopener\" href=\"https:\/\/thn.news\/cis-d\" target=\"_blank\" title=\"Cybersecurity\"><img loading=\"lazy\" decoding=\"async\" class=\"lazyload\" alt=\"La cyber-s\u00e9curit\u00e9\" src=\"https:\/\/teknomers.com\/fr\/wp-content\/uploads\/2023\/10\/1696132289_209_Les-Bing-Chat-Ads-de-Microsoft-alimentees-par-lIA-peuvent.png\" width=\"727\" height=\"90\"\/><\/a><\/center><\/div>\n<p>Sur Grammarly, il est apparu que lorsque les utilisateurs tentent de se connecter \u00e0 leurs comptes \u00e0 l&#8217;aide de l&#8217;option \u00ab Se connecter avec Facebook \u00bb, une requ\u00eate HTTP POST est envoy\u00e9e \u00e0 auth.grammarly.[.]com pour les authentifier \u00e0 l\u2019aide d\u2019un code secret.<\/p>\n<p>En cons\u00e9quence, bien que Grammarly ne soit pas sensible \u00e0 une attaque de r\u00e9utilisation de jeton comme dans le cas de Vidio et Bukalapak, il est n\u00e9anmoins vuln\u00e9rable \u00e0 un autre type de probl\u00e8me dans lequel la requ\u00eate POST peut \u00eatre modifi\u00e9e pour remplacer le code secret par un jeton d&#8217;acc\u00e8s obtenu. \u00e0 partir du site Web malveillant susmentionn\u00e9 pour acc\u00e9der au compte.<\/p>\n<p>&#8220;Et comme pour les autres sites, la mise en \u0153uvre de Grammarly n&#8217;a pas effectu\u00e9 de v\u00e9rification des jetons&#8221;, a d\u00e9clar\u00e9 Carmel, ajoutant : &#8220;un piratage de compte donnerait \u00e0 un attaquant l&#8217;acc\u00e8s aux documents stock\u00e9s de la victime&#8221;.<\/p>\n<p><\/p>\n<div class=\"cf note-b\">Vous avez trouv\u00e9 cet article int\u00e9ressant ?  Suivez-nous sur <a rel=\"nofollow noopener\" href=\"https:\/\/twitter.com\/thehackersnews\" target=\"_blank\">Twitter <i class=\"icon-font icon-twitter\">\uf099<\/i><\/a>  et <a rel=\"nofollow noopener\" href=\"https:\/\/www.linkedin.com\/company\/thehackernews\/\" target=\"_blank\">LinkedIn<\/a> pour lire plus de contenu exclusif que nous publions.<\/div>\n<\/div>\n<p><script async src=\"https:\/\/platform.twitter.com\/widgets.js\" charset=\"utf-8\"><\/script><br \/>\n<br \/><br \/>\n<br \/><a href=\"https:\/\/thehackernews.com\/2023\/10\/critical-oauth-flaws-uncovered-in.html\" rel=\"nofollow noopener\" target=\"_blank\">ttn-fr-57<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"<p>\ue80225 octobre 2023\ue804R\u00e9daction Des failles de s\u00e9curit\u00e9 critiques ont \u00e9t\u00e9 r\u00e9v\u00e9l\u00e9es dans la mise en \u0153uvre de l&#8217;autorisation ouverte (OAuth) de services en ligne populaires tels que Grammarly, Vidio et Bukalapak, s&#8217;appuyant sur les lacunes pr\u00e9c\u00e9dentes d\u00e9couvertes dans Booking.[.]com et Expo. Les faiblesses, d\u00e9sormais corrig\u00e9es par les soci\u00e9t\u00e9s respectives apr\u00e8s une divulgation responsable entre f\u00e9vrier [&hellip;]<\/p>\n","protected":false},"author":1,"featured_media":986814,"comment_status":"closed","ping_status":"open","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[6],"tags":[200292,211044,4168,5729,4165,4161,200267,429,5857,133,4806,211042,4159,4171,65,200271,200268,200269,200270,50441,3855,128318,4172,4169,211043,4166,4164],"class_list":["post-986813","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-technologie","tag-actualites-sur-la-cybersecurite","tag-bukalapak","tag-comment-pirater","tag-critiques","tag-cyber-attaques","tag-cyber-mises-a-jour","tag-cyberactualites","tag-dans","tag-decouvertes","tag-des","tag-failles","tag-grammarly","tag-lactualite-de-la-cybersecurite-aujourdhui","tag-lactualite-des-hackers","tag-les","tag-logiciel-malveillant-rancongiciel","tag-mises-a-jour-sur-la-cybersecurite","tag-nouvelles-des-pirates","tag-nouvelles-sur-le-piratage","tag-oauth","tag-plateformes","tag-securite-des-informations","tag-securite-informatique","tag-securite-internet","tag-vidio","tag-violation-de-donnees","tag-vulnerabilite-logicielle"],"_links":{"self":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/986813","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/users\/1"}],"replies":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/comments?post=986813"}],"version-history":[{"count":0,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/posts\/986813\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media\/986814"}],"wp:attachment":[{"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/media?parent=986813"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/categories?post=986813"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/teknomers.com\/fr\/wp-json\/wp\/v2\/tags?post=986813"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}