Une équipe de chercheurs a découvert et rapporté des failles auprès de PayPal, qui s'est montré peu réactif, pour ne pas dire désagréable selon leur récit.

Service de paiement en ligne utilisé partout à travers le monde, PayPal n’a pas une aussi bonne réputation auprès des hackers qu’auprès du grand public. En 2013, l’allemand Robert Kugler, alors âgé d’à peine 17 ans, avait fait la découverte d’une faille critique, mais sous prétexte qu’il n’avait pas la majorité, aucune récompense ne lui avait été octroyée. Un autre, Joshua Rogers, 17 ans lui aussi, avait communiqué la possibilité de contourner l’identification à deux facteurs (2FA). PayPal a reconnu mais minimisé la vulnérabilité, puis l’a corrigée, sans offrir de compensation à l’adolescent. Aujourd’hui une équipe de chercheurs révélant six failles en profite pour régler ses comptes avec la plateforme, qui refuse toute conversation. De plus, celle-ci utilise le site HackerOne qui permet d’établir des communications entres sites et ethical hackers. Le problème de ce dernier est que les analystes en sécurité qui évaluent les vulnérabilités sont également intéressés par les primes de bug bounty et pourraient s’approprier le travail des chercheurs.

Six vulnérabilités dévoilées

On ne sait à qui attribuer la faute, mais le fait est que six vulnérabilités découvertes est assez rare. La première permet de contourner le jeton d’identification qui permet de valider l’accès à un compte lorsqu’un utilisateur s’authentifie depuis un nouvel appareil — la 2FA est donc caduque. La seconde faille permet d’ajouter un téléphone sans l’OTP (One-Time Pin) en modifiant l’appel à api-m.paypal.com de sorte à confirmer le nouvel appareil.

PayPal n’a pas corrigé toutes les failles

Une troisième vulnérabilité a permis aux chercheurs de réaliser une attaque par dictionnaire (brute force attack) pour contourner l’avertissement empêchant un compte d’envoyer de l’argent à un autre. Une quatrième permet d’outrepasser la limite de changement de caractères des noms et prénoms d’un compte (par défaut, PayPal permet aux utilisateurs de ne modifier qu’une seule lettre, à cause des fautes de frappe. La cinquième faille est présente dans le XSS du SmartChat de PayPal et enfin la cinquième, une variante de la précédente, permet de capturer des informations confidentielles dans les questions de sécurité via une attaque de l’homme du milieu. L’ensemble de ces failles ont été rapportées par CyberNews. Toutes n’ont pas été corrigées par PayPal.