Un jeune étudiant anglais de 19 ans, qui a trouvé une vulnérabilité majeure dans le site web d'eBay la semaine dernière, a déclaré qu'une seconde faille n'avait pas été corrigée et qu'elle pourrait être utilisée pour détourner les comptes d'utilisateurs. Selon Jordan Lee Jones, la seconde vulnérabilité, notifiée vendredi dernier par courriel à eBay, n'avait toujours pas été corrigée hier lundi. C'est pourquoi il a décidé d'en publier les détails sur son blog. « eBay devrait être à la pointe dans ce domaine », a-t-il déclaré lundi soir par chat à un de nos confrères d'IDG News Service. Ce dernier n'a pu joindre les responsables d'eBay aux États-Unis en raison d'un week-end prolongé.


L'étudiant Jordan Lee Jones a découverte une seconde faille de sécurité sur la plate-forme eBay.

Jordan Lee Jones et d'autres chercheurs en sécurité scrutent de près le réseau d'eBay depuis l'intrusion révélée jeudi dernier par le site d'enchères en ligne. Selon eBay, fin février et début mars, des pirates ont réussi à voler les identifiants de connexion de quelques-uns de ses employés. Mais ils ont peut-être aussi subtilisé les noms, mots de passe cryptés, adresses électroniques, adresses physiques, numéros de téléphone et dates de naissance de certains utilisateurs. Depuis que l'intrusion a été révélée, eBay fait l'objet de nombreuses critiques : le site a omis d'alerter ses clients plus clairement et il a attendu plusieurs jours avant d'envoyer un email à ses utilisateurs pour leur conseiller de changer leurs mots de passe.

Une passerelle pour exploiter les cookies des utilisateurs d'eBay

La seconde vulnérabilité découverte par l'étudiant-chercheur britannique est de type cross-site scripting (XSS), c'est-à-dire qu'elle permet d'exécuter le code malveillant d'une autre source dans un site web. Selon Jordan Lee Jones la faille pourrait être utilisée pour récupérer les cookies des utilisateurs quand ils sont connectés à eBay et qu'ils visitent une page infectée avec le code d'attaque. « Le cookie est alors envoyé à l'attaquant », a expliqué le chercheur. Le cookie est un petit fichier de données stocké dans le navigateur web qui mémorise certaines informations. Par exemple, il peut savoir si l'internaute s'est déjà connecté au site qu'il visite. Les cookies peuvent être effacés par le navigateur ou à l'expiration de la session. Mais si un pirate parvient à récupérer un cookie valide, il peut l'utiliser pour accéder au compte d'une personne. « Le code d'attaque XSS pourrait également être injecté dans une page d'enchères », a déclaré le jeune chercheur, et le composant malveillant pourrait affecter chaque personne visitant la page. Jordan Lee Jones a montré comment la faille XSS pouvait se manifester sur une page eBay : l'affichage d'une fenêtre pop-up contenant le chiffre « 1337 » (il faut lire « leet » (élite) en langage de hacker).

Comme beaucoup d'entreprises, eBay demande aux chercheurs en sécurité de ne pas divulguer les vulnérabilités qu'ils découvrent dans leurs systèmes avant qu'elles ne soient corrigées, selon une politique dite de « divulgation responsable ». Dans ses recommandations aux chercheurs, eBay indique qu'elle prend la sécurité de ses clients très au sérieux, « mais que certaines vulnérabilités prennent plus de temps que d'autres à résoudre ». Les entreprises peuvent demander aux chercheurs de ne pas rendre leurs découvertes publiques, mais rien ne les oblige à garder ces informations sous le coude, et nombreux sont ceux qui décident de les divulguer. En exploitant la première vulnérabilité qu'il a identifiée, Jordan Lee Jones a pu charger un shellcode dans le réseau d'eBay. Il aurait pu l'utiliser pour défigurer une partie du site ou pour télécharger la base de données en arrière-plan. eBay a pris des mesures pour corriger cette première vulnérabilité. Dans un courriel, le site d'enchères remercie le jeune chercheur pour sa découverte et précise que son nom serait ajouté à la liste des chercheurs en sécurité qui ont oeuvré en faveur de l'entreprise.