Cryptos : une vulnérabilité sur une API d’une plateforme de cryptomonnaies aurait pu permettre un vol massif

Faille d’authentification sur un plateforme de cryptomonnaies

Salt Security découvre une vulnérabilité API sur une plateforme de cryptomonnaies qui aurait pu permettre le vol de millions de dollars dans des portefeuilles de crypto-monnaies. La faille d’authentification détectée par Salt Labs aurait pu déclencher des attaques ATO d’une grande envergure.

Vulnérabilité API

Salt Security a publié une nouvelle étude réalisée par Salt Labs sur les menaces ciblant les API qui met en évidence une vulnérabilité API sur une importante plateforme de cryptomonnaies proposant des portefeuilles en ligne. Comptant deux millions d’utilisateurs à travers le monde, cette plateforme offre un large éventail de services permettant aux clients d’acheter et d’échanger des cryptomonnaies sur Internet. Découverte par Salt Labs, la faille de sécurité en question, en lien avec l’utilisation d’identifiants d’authentification externe, pouvait déclencher des attaques ATO d’une grande envergure, autrement dit des prises de contrôle des comptes clients. La vulnérabilité aurait pu permettre le vol de centaines de millions de dollars dans des portefeuilles de crypto-monnaies.

Les chercheurs de Salt Labs ont repéré cette vulnérabilité au niveau de la fonction « Connexion » de la plateforme, plus précisément avec l’authentification Google. Comme nombre de méthodes d’authentification externe, Google utilise un protocole OIDC (OpenID Connect) standard, qui lui-même s’appuie sur un autre standard d’autorisation répandu, OAuth 2.0. Étant donné que la plateforme de cryptomonnaies n’implémentait pas correctement le protocole OIDC, la demande d’authentification côté utilisateur pouvait être envoyée au serveur applicatif et non au service OIDC exclusivement.

Cette vulnérabilité aurait pu être exploitée par des pirates aux fins ci-après :

• virer le solde d’un compte sur le portefeuille crypto d’un utilisateur ou un compte bancaire privé ;
• prendre la main sur la majeure partie du compte d’un utilisateur au niveau du système ;
• accéder intégralement au compte d’un utilisateur et virer les fonds sur le support de son choix, mais aussi réaliser toute autre opération financière en son nom.

« Les plateformes de cryptomonnaies s’appuient sur les API pour garantir la connectivité des données servant de dynamique à leurs services en ligne », précise Yaniv Balmas, vice-président du pôle Études/Recherches chez Salt Security. « L’étude de Salt Labs met en évidence les dangers que peut faire naître une erreur de configuration d’API et souligne la nécessité de renforcer la visibilité sur ces vastes écosystèmes API aux fins de protéger les services critiques et les précieuses données clients. Une faille de sécurité même mineure peut ruiner une activité. »

Les plateformes de cryptomonnaies représentent une cible de choix pour les pirates, comme le prouvent une nouvelle fois les 100 millions de dollars en crypto dérobés la semaine dernière à Horizon, un « pont » inter-blockchain développé par la start-up Harmony.

95 % des entreprises ont recensé un incident de sécurité concernant une API

D’après le rapport Salt Security « State of API Security Report », 1er trimestre 2022, 95 % des entreprises ont recensé un incident de sécurité concernant une API au cours des 12 derniers mois. Les écosystèmes API des plateformes de cryptomonnaies sont gigantesques, offrant aux clients un accès à leurs portefeuilles crypto et leur permettant d’acheter, d’échanger, d’emprunter et de gagner facilement des cryptomonnaies. La plateforme de cryptomonnaies évaluée par Salt Labs était exposée à deux problèmes API fréquents :

• erreur de configuration en matière de sécurité (API-7) ;
• manque de ressources et limitation de débit (API-4).

Dès la découverte de la vulnérabilité, les chercheurs de Salt Labs ont observé des pratiques de divulgation parfaitement coordonnées, et tous les problèmes ont été corrigés.

La plateforme Salt Security de protection des API s’attèle aux types de vulnérabilités repérées sur cette plateforme de cryptomonnaies et aux autres attaques répertoriées dans le « Top 10 » des vulnérabilités API de l’OWASP. Seule solution de sécurisation des API à exploiter l’intelligence artificielle (IA) et le machine learning (ML), la plateforme Salt Security compare les activités de millions d’utilisateurs et d’appels API avec plusieurs centaines d’attributs en quasi-temps réel. Ce faisant, elle est capable de détecter les opérations de reconnaissance des acteurs malveillants et d’y mettre obstacle avant que ceux-ci n’atteignent leur objectif. Via son architecture ACE (API Context Engine) unique, cette plateforme protège les API aux stades du développement, du déploiement et de l’exécution ; elle met au jour la totalité des API et les données confidentielles exposées, repère et bloque leurs assaillants, et fait le point sur les mesures correctrices mise en œuvre en cours d’exécution dont peuvent se servir les développeurs pour renforcer les API.