Une faille dans la double authentification de PayPal

La double authentification est une couche supplémentaire de sécurité qui associe un code reçu sur un téléphone portable pour valider une connexion à un service avec identifiant et mot de passe.

Surnommée « 2FA » (pour « two-factor authentification »), elle est de plus en plus employée pour rendre plus difficile le piratage de comptes. Mais la faille découverte par Duo Security met en péril la sécurité du procédé.

Dans un article sur leur blog, ces chercheurs expliquent que la faille réside dans l’application mobile, qui ne gère pas les comptes paramétrés pour la double authentification. Cela permet à un pirate de se connecter sans l’identification secondaire, en intégrant l’API de PayPal dans sa propre application et en renseignant la valeur false à la ligne de code qui correspond au paramètre d’utilisation de la 2FA.

En d’autres termes, un pirate peut accéder à un compte PayPal « uniquement » avec l’identifiant et le mot de passe d’une victime, bien que celle-ci ait choisi la 2FA.

PayPal a déployé un correctif temporaire en attendant la résolution permanente du bug, à venir courant juillet.