PayPal : faille dans la double authentification

Les grandes entreprises tentent de sécuriser la connexion de leurs utilisateurs sur leur site internet et une méthode populaire est l’utilisation de la double authentification. En plus de son identifiant et de son mot de passe, l’utilisateur qui adhère à ce genre de programme se voit fournir un deuxième mot de passe à la volée, soit par message court, soit via une app sur son téléphone mobile. Au choix, en fonction des entreprises, le second mot de passe est fourni pour chaque connexion ou lorsque l’utilisateur se connecte depuis une machine ou un navigateur inhabituel.

PayPal, qui propose ce système à ses utilisateurs grâce à l’envoi d’un second mot de passe par message court, semble être tombé sur un problème révélé par un Australien. La faille, pas encore corrigée, bien que la société ait été prévenue il y a plus de deux mois, consiste à utiliser son compte sur le service de vente par enchère eBay à qui appartient la société PayPal.

En effet, une fois identifié chez eBay, un système de cookie permet de passer outre la double identification chez PayPal même s’il faut tout de même entrer son identifiant et son mot de passe habituel. Deux éléments qui peuvent se retrouver entre les mains de personnes malintentionnées, ce qui arrive parfois et justifie l’utilisation de la double authentification.

Comme l’Australien a révélé la faille avant que PayPal n’ait pu remédier au problème, celui-ci ne touchera pas la prime promise par la société pour toute faille dénoncée à l’entreprise, mais pas révélée au grand public. Il aurait ainsi fait une croix sur environ 3 000 $. Pour lui l’argent ne fait pas tout.

Researcher says PayPal’s two-factor authentication is easily beaten