Un Australien ayant découvert une faille dans le système d'authentification à deux facteurs de PayPal a publié hier sur son blog des détails sur le mode d'attaque possible, deux mois après avoir averti l'opérateur du problème, sans effet. Pour sécuriser la connexion à leur compte PayPal, les utilisateurs du service de paiement sur le web (détenu par eBay) peuvent recevoir via un message texte un code à six chiffres qu'ils saisissent après avoir préalablement soumis leur login et mot de passe. Le code étant envoyé hors connexion ou généré par une application mobile, il est plus difficile pour les pirates de l'intercepter, mais pas impossible.

La méthode trouvée par Joshua Rogers nécessite de connaître les identifiants eBay et PayPal de la personne, des informations que les programmes malveillants savent facilement récupérer sur des ordinateurs compromis. Le problème réside dans une page eBay qui permet aux utilisateurs de relier leur compte eBay avec PayPal. En le faisant, cela crée un cookie qui laisse croire  à l'application PayPal que la personne est connectée, même si aucun code à six chiffres n'a été saisi, écrit Joshua Rogers sur son blog. C'est la fonction « =_integrated-registration » qui pose problème en ne vérifiant pas si la victime a activé le système d'authentification à deux facteurs, explique-t-il. Une vidéo de l'attaque a été postée sur YouTube.

De cette façon, un attaquant pourrait à plusieurs reprises accéder au compte PayPal d'une personne en le reliant à son compte eBay. En révélant cette information, Joshua Rogers renonce à la récompense que PayPal verse habituellement aux chercheurs en sécurité ayant découvert une vulnérabilité, en leur demandant de conserver la confidentialité de leur découverte jusqu'à ce que la faille soit corrigée.