Response ID vasco-sr-20140505-oauth
Numéro de révision 1.0
Date de sortie 05 mai 2015 10:57 AM UTC
Dernière mise à jour 05 mai 2015 10:57 AM UTC
Résumé
Covert Redirect est une faille de sécurité dans la mise en œuvre d'OAuth par les fournisseurs de services d'application (ASP), permettant aux attaquants d'obtenir les données personnelles des utilisateurs ayant un compte avec des SAP défectueux. MYDIGIPASS.COM est à l'abri de la faille DecoverRe.
Qu'est-ce qu'OAuth?
OAuth est un protocole ouvert d'autorisation. OAuth spécifie un processus d'autorisation des applications tierces pour obtenir l'accès aux comptes d'utilisateurs.
Qu'est-ce que Covert Redirect?
Covert Redirect est une faille de sécurité dans la mise en œuvre d'OAuth par les fournisseurs de services d'application (ASP), publié pour la première fois le 2 mai 2014.
Dans le protocole OAuth, le site Web d'un ASP (p. ex. example.com) fait une demande d'autorisation sur le site Web d'un fournisseur d'authentification (p. ex. mydigipass.com). Cette demande contient un URI, tel que https://ASP.com/redirect/?&original_page=https://ASP.com/myprofile. Le fournisseur d'authentification invite l'utilisateur à se connecter au domaine du fournisseur d'authentification, puis délivre un code d'autorisation sur le site Web de l'ASP (example.com). Ce code d'autorisation est transmis du fournisseur d'authentification au site Web de l'ASP en redirigeant le navigateur de l'utilisateur vers l'URI prévu dans la demande d'autorisation.
La faille de réorientation secrète existe si les AEP permettent une redirection ouverte vers une page Web choisie par un adversaire. Dans ce cas, un adversaire insérerait un URI redirigeant vers un site Web voyou dans la demande d'autorisation, et l'ASP s'y réorienterait. Par exemple, l'URI https://example.com/redirect/?&original_page=https://evil.com/myprofile provoquerait un ASP défectueux pour rediriger le navigateur de l'utilisateur vers https://evil.com/myprofile, et ce site Web voyoupourrait par la suite accéder aux données personnelles de l'utilisateur.
Quel est l'impact de Covert Redirect?
Les attaquants peuvent exploiter la faille de sécurité Covert Redirect pour obtenir le Code d'autorisation délivré par le fournisseur d'authentification. Ce code d'autorisation peut à son tour être utilisé pour accéder aux données de compte des utilisateurs stockés par des fournisseurs d'authentification. Ces données peuvent ensuite être utilisées à d'autres fins malveillantes.
Est-MYDIGIPASS.COM vulnérable à La redirection secrète?
Non, ça ne l’est pas.
MYDIGIPASS.COM effectue deux vérifications pour s'assurer qu'elle n'est pas soumise à cette lacune :
Tout d'abord, MYDIGIPASS.COM vérifie si l'URI dans la demande d'autorisation de l'ASP correspond précisément à l'URI dans MYDIGIPASS. Paramètres de configuration de COM pour cet ASP, en conformité avec les recommandations de sécurité de l'IETF concernant OAuth. Cela garantit non seulement que MYDIGIPASS.COM redirige vers le domaine de l'ASP, mais aussi qu'il redirige uniquement vers la page Web spécifique enregistrée dans MYDIGIPASS.COM par l'ASP.
Deuxièmement, MYDIGIPASS.COM authentififier l'ASP lorsqu'il demande un jeton d'accès dans le cadre d'une autorisation. L'ASP doit fournir son Secret Client à MYDIGIPASS.COM afin de s'authentifier. Un ASP voyoune ne serait pas en mesure de fournir le Secret du Client, ce qui signifie qu'il ne peut pas accéder aux données personnelles des utilisateurs MYDIGIPASS.COM.
Avis de non-responsabilité juridique
BIEN QUE TOUS LES EFFORTS RAISONNABLES SOIENT FAITS POUR TRAITER ET FOURNIR DES RENSEIGNEMENTS EXACTS, TOUT LE CONTENU ET L'INFORMATION CONTENUS DANS CE DOCUMENT SONT FOURNIS « TELS QUE C'EST » ET « COMME DISPONIBLES », SANS AUCUNE REPRÉSENTATION OU APPROBATION ET SANS AUCUNE EXPRESSION OU IMPLICITE GUARANTEE OF CURRENCY, COMPLETENESS OR SUITABILITY, OR ANY WARRANTY INCLUDING THE WARRANTIES OF MERCHANTABILITY OR FITNESS FOR A PARTICULAR USE OR PURPOSE. VOTRE UTILISATION DE CE DOCUMENT, DE TOUTE INFORMATION FOURNIE OU DE DOCUMENTS LIÉS À CE DOCUMENT EST À VOS RISQUES ET PÉRILS. VASCO SE RÉSERVE LE DROIT DE MODIFIER OU DE METTRE À JOUR LES INFORMATIONS CONTENUES DANS CE DOCUMENT À TOUT MOMENT ET À SA DISCRÉTION, AU FUR ET À MESURE QUE DES INFORMATIONS NOUVELLES OU SUPPLÉMENTAIRES SERONT DISPONIBLES.
Copyright © 2014 VASCO Data Security, Inc., VASCO Data Security International GmbH. Tous droits réservés.
🖨 la faille de redirection secrète dans OAuth n'affecte pas MYDIGIPASS.CO M