Dans le dernier rapport de son laboratoire de recherches, Salt Security, spécialisé dans la sécurité des API, révélait avoir découvert plusieurs failles au sein du protocole d’authentification utilisé par le site hollandais spécialisé dans l’hébergement booking.com.
“Avec l’explosion des API, que ce soit pour se connecter aux partenaires, aux fournisseurs, aux clients, etc. très peu d’organisations sont en mesure de prétendre connaître toutes les celles qu’elles exposent.”, affirme Nicolas Jeanselme, ingénieur sécurité chez Salt. En résultent une surface d’attaque truffée d’angles morts causée par des mauvaises configurations non-identifiées. Et c’est exactement ce que tentent de dénicher les chercheurs du Salt Labs. Après la brique de sécurité manquante sur la fonction de recherche de la plateforme Lego Bricklink, le site de réservation en ligne Booking.com est lui aussi passé dans la moulinette de l’expert de Palo Alto. Des failles susceptibles d’affecter les utilisateurs se connectant au site depuis leur compte Facebook ont ainsi été décelées dans l’implémentation du protocole Open Authorization (OAuth). OAuth permet aux de se connecter, en quelques clics, via le compte d’un réseau social, permettant aux utilisateurs de s’affranchir de la phase d’inscription et, ultérieurement, d’avoir à saisir login/mot de passe.
Un impact potentiel sur kayak.com également évité
“Mais, si OAuth offre l’avantage d’une expérience simplifiée sur les sites web, la fonctionnalité présente en contrepartie un back-end technique complexe pouvant donner lieu à des failles exploitables”, explique le spécialiste dans un communiqué dans lequel on retrouve également la liste des impacts potentiels qu’auraient pu avoir une usurpation massive des comptes clients (la popularité de l’option de connexion via le réseau social dénombre en millions le nombre de victimes potentielles) : Manipulation des utilisateurs de la plateforme en vue de prendre le contrôle total de leurs comptes (ATO) ; Fuite d’informations personnelles (PII) et autres données sensibles stockées en interne par les sites ; Exécution d’actions à la place de l’utilisateur, par exemple une réservation ou une annulation ou encore la réservation d’un moyen de transport. Une liste qui s’étend aux utilisateurs du site Kayak.com (également détenu par Booking Holdings Inc.) pour qui la connexion peut se faire à partir de leurs identifiants Booking.com.
La sécurisation des API encore trop éloignée des considérations cyber
D’après le rapport de Salt Security sur la sécurité des API au T3 2022, les clients de Salt ont observé une augmentation de 117 % du nombre d’attaques dirigées contre les API, contre une augmentation de 168 % du trafic des API. Pour Nicolas Jeanselme, “le champ des API n’est toujours pas une priorité pour les équipes sécurité. Ces dernières se reposent beaucoup trop sur des équipes DevOps soumises à un rythme effréné de livraisons causé par l’accélération de la digitalisation exigée par le business. Après plusieurs centaines d’audits faits de ce type là, on se rend compte de failles de sécurité très importantes dans toutes les organisations. Qu’elles soient publiques ou privées.” L’ingénieur rappelle qu’il y a trois semaines, l’opérateur T-Mobile faisait l’actualité avec 37 millions de comptes exfiltrés. Cela alors qu’il avait déjà subi le même incident en 2021. Incident qui leur avait coûté un demi-milliard ! 350 millions pour les clients lésés et 150 millions investis dans la sécurité de leur infrastructure. “Mais l’asymétrie de l’attaquant est encore plus vraie pour les APIs : il suffit d’une seule fonctionnalité API exposant trop de données ou ne vérifiant pas les permissions au niveau de l’objet pour qu’une exfiltration de données, une prise de contrôle de compte ou une fraude soit possible, précise Nicolas Jeanselme. Il faut donc connaître en temps réel sa surface d’attaque API, détecter et bloquer les attaquants mais aussi identifier les défauts de posture pour les corriger.” Face à l’urgence et la criticité de la situation, le Gartner a d’ailleurs, en conséquence, revu en 2021 son architecture de référence pour y inclure un segment spécifique à la sécurité des API.