Découverte d'une vulnérabilité api sur une plateforme de cryptomonnaie

La faille d'authentification détectée par Salt Labs aurait pu déclencher des attaques ATO d'une grande envergure.

Salt Security, le premier spécialiste en sécurisation des API, a publié une nouvelle étude réalisée par Salt Labs sur les menaces ciblant les API qui met en évidence une vulnérabilité API sur une importante plateforme de cryptomonnaies proposant des portefeuilles en ligne. Comptant deux millions d'utilisateurs à travers le monde, cette plateforme offre un large éventail de services permettant aux clients d'acheter et d'échanger des cryptomonnaies sur Internet. Découverte par Salt Labs, la faille de sécurité en question, en lien avec l'utilisation d'identifiants d'authentification externe, pouvait déclencher des attaques ATO d'une grande envergure, autrement dit des prises de contrôle des comptes clients. La vulnérabilité aurait pu permettre le vol de centaines de millions de dollars dans des portefeuilles de crypto-monnaies.

Les chercheurs de Salt Labs ont repéré cette vulnérabilité au niveau de la fonction « Connexion » de la plateforme, plus précisément avec l'authentification Google. Comme nombre de méthodes d'authentification externe, Google utilise un protocole OIDC (OpenID Connect) standard, qui lui-même s'appuie sur un autre standard d'autorisation répandu, OAuth 2.0. Étant donné que la plateforme de cryptomonnaies n'implémentait pas correctement le protocole OIDC, la demande d'authentification côté utilisateur pouvait être envoyée au serveur applicatif et non au service OIDC exclusivement.

Cette vulnérabilité aurait pu être exploitée par des pirates aux fins ci-après :

- virer le solde d'un compte sur le portefeuille crypto d'un utilisateur ou un compte bancaire privé ;

- prendre la main sur la majeure partie du compte d'un utilisateur au niveau du système ;

- accéder intégralement au compte d'un utilisateur et virer les fonds sur le support de son choix, mais aussi réaliser toute autre opération financière en son nom.

« Les plateformes de cryptomonnaies s'appuient sur les API pour garantir la connectivité des données servant de dynamique à leurs services en ligne », précise Yaniv Balmas, vice-président du pôle Études/Recherches chez Salt Security. « L'étude de Salt Labs met en évidence les dangers que peut faire naître une erreur de configuration d'API et souligne la nécessité de renforcer la visibilité sur ces vastes écosystèmes API aux fins de protéger les services critiques et les précieuses données clients. Une faille de sécurité même mineure peut ruiner une activité. »

Les plateformes de cryptomonnaies représentent une cible de choix pour les pirates, comme le prouvent une nouvelle fois les 100 millions de dollars en crypto dérobés la semaine dernière à Horizon, un « pont » inter-blockchain développé par la start-up Harmony.

D'après le rapport Salt Security « State of API Security Report », 1er trimestre 2022, 95 % des entreprises ont recensé un incident de sécurité concernant une API au cours des 12 derniers mois. Les écosystèmes API des plateformes de cryptomonnaies sont gigantesques, offrant aux clients un accès à leurs portefeuilles crypto et leur permettant d'acheter, d'échanger, d'emprunter et de gagner facilement des cryptomonnaies. La plateforme de cryptomonnaies évaluée par Salt Labs était exposée à deux problèmes API fréquents :

- erreur de configuration en matière de sécurité (API-7) ;

- manque de ressources et limitation de débit (API-4).

Dès la découverte de la vulnérabilité, les chercheurs de Salt Labs ont observé des pratiques de divulgation parfaitement coordonnées, et tous les problèmes ont été corrigés.

La plateforme Salt Security de protection des API s'attèle aux types de vulnérabilités repérées sur cette plateforme de cryptomonnaies et aux autres attaques répertoriées dans le « Top 10 » des vulnérabilités API de l'OWASP. Seule solution de sécurisation des API à exploiter l'intelligence artificielle (IA) et le machine learning (ML), la plateforme Salt Security compare les activités de millions d'utilisateurs et d'appels API avec plusieurs centaines d'attributs en quasi-temps réel. Ce faisant, elle est capable de détecter les opérations de reconnaissance des acteurs malveillants et d'y mettre obstacle avant que ceux-ci n'atteignent leur objectif. Via son architecture ACE (API Context Engine) unique, cette plateforme protège les API aux stades du développement, du déploiement et de l'exécution ; elle met au jour la totalité des API et les données confidentielles exposées, repère et bloque leurs assaillants, et fait le point sur les mesures correctrices mise en œuvre en cours d'exécution dont peuvent se servir les développeurs pour renforcer les API.

Le rapport complet, englobant les recherches menées par Salt Labs et la procédure de neutralisation suivie, est accessible ici.

Pour en savoir plus sur Salt Security ou sa plateforme, ou pour demander une démonstration, accédez à l'adresse : content.salt.security/demo.html.

À propos de Salt Security

Salt Security protège les API qui forment le socle des applications d'aujourd'hui. API Protection Platform est la première solution brevetée du secteur conçue pour la prévention des attaques de nouvelle génération contre les API. Grâce à l'apprentissage automatique et à l'IA, la plateforme identifie et protège les API de façon automatique et continue. À ce jour, Salt Security propose la seule solution en mesure de relier les activités réalisées sur des millions d'API aux utilisateurs qui en sont à l'origine et de fournir une analyse en temps réel de toutes les données. Déployée en quelques minutes seulement, la plateforme Salt Security cerne avec précision le comportement des API d'entreprise et identifie et neutralise les attaques visant les API, sans configuration ni personnalisation préalable. Pour en savoir plus, rendez-vous sur salt.security.