Actualité web & High tech sur Usine Digitale

Recevez chaque jour toute l'actualité du numérique

x

Le système de double authentification de PayPal vulnérable face aux attaques des hackers

Les portefeuilles en ligne des clients de PayPal ne sont pas aussi protégés que ne le laisse croire l'entreprise. Le système de double authentification est censé apporter un niveau de sécurisation supérieur à la normale aux utilisateurs qui ont activé cette option. Pourtant une équipe de la société informatique Duo Security affirme que ce verrou de sécurité pourrait être facilement brisé par un hacker.
Twitter Facebook Linkedin Flipboard Email
×

Le système de double authentification de PayPal vulnérable face aux attaques des hackers
Le système de double authentification de PayPal vulnérable face aux attaques des hackers © Steve Ganz - Flickr - C.C.

Une équipe de la société de sécurité informatique Duo Security  a découvert une faille dans le système de double authentification, proposé par la société de paiement informatique PayPal à ses clients. Pour accéder à leur portefeuille en ligne, les utilisateurs du service qui ont validé cette option doivent non-seulement rentrer un identifiant et un mot de passe, mais aussi utiliser un code à usage unique, qui leur est envoyé directement sur leur smartphone. Cette double protection, recommandée par les spécialistes de la sécurité informatique, fonctionne correctement depuis un ordinateur classique.

Mais sur l'application mobile de PayPal, elle n'est pas encore activée. Lorsqu'un utilisateur du service essaye de se connecter, l'application l'avertit que la double authentification ne fonctionne pas sur les smartphones et les tablettes, et qu'il ne peut donc pas accéder à son compte. Mais le programme ne prévient avec ce message que le client. Il n'envoie pas cette information au serveur de l'entreprise.

PayPal a corrigé la faille

Un informaticien de Duo Security (qui vend des systèmes de double authentification informatique), a créé un logiciel capable de perturber ce système. Il envoie à l'interface de programmation de PayPal (à laquelle l'application se connecte pour identifier l'utilisateur), une fausse information pirate : elle lui dit que l'utilisateur ne s'est pas abonné au service de double authentification, alors que c'est bien le cas. Le hacker peut donc accéder à son portefeuille en ligne simplement avec l'identifiant et le mot de passe, alors que PayPal lui a vendu une protection d'un niveau supérieur.

La filiale d'eBay a répliqué dans un post de blog : "Nous tenons à souligner que les comptes PayPal restent sécurisés." Ce problème ne concerne qu'une couche de protection additionnelle des profils en ligne. Un correctif temporaire a été installé. Le système devrait être définitivement mis à jour le 28 juillet 2014.

Lélia de Matharel

Réagir

* Les commentaires postés sur L’Usine Digitale font l’objet d’une modération par l’équipe éditoriale.

 
media
Suivez-nous Suivre l'Usine Digitale sur twitter Suivre l'Usine Digitale sur facebook Suivre l'Usine Digitale sur Linked In RSS Usine Digitale