Usurpation de comptes d'utilisateurs, exfiltration des données, annulation de réservations et autres : les conséquences auraient pu être graves pour Booking.com, touché par des failles de sécurité qui ont été, depuis leur découverte, fort heureusement corrigées.
La plateforme de protection des API Salt Security a dévoilé ce jeudi 2 mars un rapport mettant en cause la sécurité du site de réservation d'hébergement Booking.com, pointant du doigt « de nombreuses failles » qui auraient pu affecter en masse les utilisateurs se connectant à la plateforme depuis leur compte Facebook. Si les failles ont été corrigées, rien ne garantit cependant qu'elles n'aient pas été exploitées.
Des vulnérabilités détectées dans le système d'authentification permettant à une application de vous connecter à Booking.com
Les vulnérabilités détectées sur Booking ont été décelées dans l'implémentation du protocole Open Authorization (OAuth) que le site utilise et qui permet à un utilisateur de donner l'autorisation à une application tierce d'accéder à ses données. Cela permet ainsi de l'aider à s'authentifier, en un clic, sur un autre site, comme lorsque vous passez par exemple par votre compte Google ou Apple pour vous connecter sur Epic Games, Le Monde ou autres.
Ces failles pouvaient avoir de graves conséquences pour les utilisateurs souhaitant se connecter sur Booking via leur compte Facebook. Les erreurs de configuration de la fonctionnalité OAuth auraient en effet pu conduire à des usurpations de comptes clients, mais aussi à la compromission des serveurs.
Cette dernière aurait pu causer une fuite (par exfiltration) de données personnelles et autres données sensibles stockées en interne par les sites, ou bien carrément exécuter des actions à la place du client, on pense notamment à une réservation, une annulation de réservation ou à la réservation d'un moyen de transport.
Des millions de victimes potentielles
Salt Labs rappelle que si le protocole OAuth offre une expérience de grande simplicité aux utilisateurs, il nécessite un back-end technique plutôt délicat, qui peut donner lieu à des failles exploitables. En manipulant la séquence OAuth sur Booking.com, les cyberexperts ont pu pirater des sessions et voler des comptes, pouvant dérober leurs données et agir à la place des utilisateurs.
Au vu de la popularité toujours très importante de Facebook, on peut évaluer le nombre potentiel de victimes à plusieurs millions. La liste des utilisateurs un temps exposés à ces risques ne se limite pas à Booking.com. Par exemple, le site Kayak.com est détenu par la même holding et permet aux utilisateurs de se connecter à la plateforme grâce à leurs identifiants Booking, ce qui les expose aux mêmes conséquences. Une fois les failles signalées à l'entreprise néerlandaise, les vulnérabilités ont rapidement été corrigées, insistent les équipes de Salt Security.
