Rien n'est jamais gratuit... sauf le café ?

En début d’année lors d’un événement secret pour hackers en France, le chercheur en sécurité Baptiste Robert, ayant quelques heures à tuer, se dirige vers un distributeur automatique pour boire un petit café.

Quelques heures ont suffi à l’obtenir – façon hacker.

Lorsqu’il a vu qu’il pouvait payer par téléphone via une application pour Android ou iOS appelée CoffeecApp, Baptiste a découvert une manière simple pour des hackers non éthiques (des pirates donc) de voler les comptes d’autres utilisateurs et d’effectuer des achats à leurs frais.

Baptiste a décidé d’examiner le type d’informations échangées entre l’application et le serveur du fournisseur. Il a commencé par créer un compte et vérifier les données, qui comprenaient un ID utilisateur, le numéro de téléphone faisant office de nom d’utilisateur.

La réinitialisation du mot de passe de connexion a indiqué une valeur pour un nouveau paramètre appelé «UserUId», identique à l’ID utilisateur. Cela a suffisamment piqué son intérêt pour créer un deuxième compte et lancer une procédure de réinitialisation en fournissant la valeur «UserUId» du premier compte. La tentative a été un succès.

Cette performance, cependant, ne lui permettait pas de détourner les comptes d’autres utilisateurs, à moins de trouver un moyen d’apprendre les numéros de téléphone enregistrés avec CoffeecApp. Robert poussa donc ses recherches un plus loin jusqu’à ce qu’il découvre que l’application n’était pas protégée contre les tentatives d’attaque par force brute et qu’elle notifiait quand elle recevait un nom d’utilisateur valide.

“Dans la première demande faite lors du processus de réinitialisation, l’application envoie votre nom d’utilisateur, qui correspond à votre numéro de téléphone, à leur serveur. Si ce nom d’utilisateur existe, vous obtiendrez un code de réponse 200”, explique le chercheur.

“Si vous envoyez un nom d’utilisateur aléatoire, le serveur vous dit ‘ UserNotExists. ’”

Ces découvertes permettent à un pirate de bombarder l’application avec des numéros de téléphone et de trouver ceux enregistrés. Combiné à la procédure de réinitialisation du mot de passe, un attaquant pourrait détourner des comptes et utiliser le crédit disponible sur les distributeurs automatiques prenant en charge le paiement via l’application mobile CoffeecApp.

Le “tout gratuit” n’existe sans doute pas, mais ça ne semble pas s’appliquer au café vendu dans des distributeurs automatiques non sécurisés…

crédit image : Google