PayPal

Une faille de sécurité permet à des pirates de siphonner le compte PayPal des utilisateurs. Un seul clic, en apparence anodin, est requis pour autoriser un paiement non désiré.

Un chercheur en sécurité connu sous le nom de code de h4x0r_dz a découvert une vulnérabilité dans le service de transfert d'argent de PayPal.

Un simple clic mal visé peut déclencher un paiement

Selon lui, la faille de sécurité peut permettre à des pirates de recourir à une technique de clickjacking (détournement de clic) afin de détourner la vigilance de l'utilisateur. Celle-ci consiste à afficher un élément d'interface qui semble légitime dans une page web et qui incite à cliquer, comme une croix pour fermer une fenêtre par exemple. Superposer un bouton renvoyant vers un site malveillant sur un composant d'UI fiable est aussi un moyen de tromper les utilisateurs.

Dans le cas rendu public par h4x0r_dz, la victime peut autoriser un paiement en un seul clic malencontreux. Sur la page www.paypal.com/agreements/approve, qui fait figure de point de terminaison et a pour but d'obtenir les accords de facturation, seul le jeton billingAgreementToken devrait être accepté. Mais en réalité, un autre type de token peut être soumis, rendant possible le clickjacking.

PayPal n'aurait toujours pas corrigé la faille de sécurité

La vulnérabilité peut notamment être exploitée lorsque l'on veut effectuer un paiement sur un site tiers qui accepte PayPal comme moyen de transaction et renvoie donc vers la plateforme via un jeton d'authentification. Le danger existe aussi si vous êtes sur un navigateur web sur lequel vous être déjà connecté à votre compte PayPal.

L'expert en cybersécurité explique qu'il peut très bien exploiter cette faille de sécurité pour transférer de l'argent sur son propre compte PayPal, ou pour créer un compte Netflix en faisant payer une victime du piratage.

Il assure avoir contacté PayPal pour les prévenir de l'existence de cette vulnérabilité en octobre 2021, mais qu'elle n'a depuis ce temps toujours pas été comblée.