Une nouvelle vulnérabilité majeure a été découverte dans les protocoles de sécurité OAuth 2.0 et OpenID alors qu'Internet est encore sous le coup du bogue Heartbleed..

L'étudiant au doctorat Wang Jing, de l'Université technologique de Nanyang à Singapour, a repéré un bug qui permet aux pirates d'utiliser des techniques de phishing pour tenter de voler des informations de connexion sans que les utilisateurs le sachent..

En savoir plus: Proxy VPN gratuit FlashVPN

Le bogue permet essentiellement aux cybercriminels d’utiliser une véritable authentification de site Web pour déclencher un popup de phishing, au lieu de la tactique plus courante consistant à simuler le domaine. Dans le processus, les pirates recevront les informations de connexion de l'utilisateur.

Cette vulnérabilité concerne de nombreux sites Web majeurs, notamment Facebook, Google, Yahoo, LinkedIn, PayPal et Microsoft..

Suivi des bogues

Facebook a rejeté la menace lorsqu'il a été contacté par Wang, suggérant qu'il serait impossible de combler le trou à court terme. D'autres sociétés telles que Google et Microsoft suivent le bogue ou ont déjà terminé leurs enquêtes..

Une solution de contournement impliquerait l'utilisation d'une liste blanche pour toutes les applications sur un site Web, mais cela affecterait négativement l'expérience utilisateur. Jusqu'à ce que cela soit corrigé, il est conseillé aux utilisateurs de faire attention à la saisie des informations de connexion dans des fenêtres contextuelles, à l'invite des applications..

La vulnérabilité survient à la suite du bogue Heartbleed, considéré par beaucoup comme la pire menace à la sécurité pour Internet. La plupart des grands sites l'ont déjà corrigée, mais ils doivent maintenant s'inquiéter d'un autre problème de sécurité..

Via CNET

  • Heartbleed: 5 choses à savoir