PayPal a déposé une demande de brevet pour une nouvelle méthode permettant d’identifier le vol de « super-cookies », ce qui pourrait améliorer le mécanisme d’authentification basé sur les cookies et limiter les attaques de prise de contrôle de compte.

Le risque auquel PayPal veut remédier est celui des pirates informatiques qui volent des cookies contenant des jetons d’authentification pour se connecter aux comptes des victimes sans avoir besoin d’informations d’identification valides et en contournant l’authentification à deux facteurs (2FA).

« Le vol de cookies est une forme sophistiquée de cyberattaque, dans laquelle un attaquant vole ou copie des cookies de l’ordinateur d’une victime sur le navigateur Web de l’attaquant », indique PayPal dans la demande de brevet.

« Avec des cookies volés contenant souvent des mots de passe hachés, l’attaquant peut utiliser un navigateur Web sur l’ordinateur de l’attaquant pour usurper l’identité de l’utilisateur (ou de son appareil authentifié) et accéder aux informations sécurisées associées au compte de l’utilisateur sans avoir à se connecter manuellement ou à fournir des informations d’authentification », est-il expliqué plus en détail.

Détails du système
Contrairement aux cookies standard stockés localement, les super-cookies (également appelés « cookies Flash ») sont des Objets locaux partagés (LSO) qui sont injectés au niveau du réseau en tant qu’en-têtes d’identifiant unique (UIDH) par le fournisseur d’accès Internet (FAI) de l’utilisateur.

Ces super-cookies sont principalement utilisés pour le suivi intersite, en suivant les utilisateurs sur différents navigateurs sur le même appareil, en collectant des données sur l’activité de navigation et en servant d ‘ « empreintes digitales d’appareil » persistantes. »

Les super-cookies sont plus difficiles à détecter et à effacer car ils ne sont pas stockés dans l’emplacement de stockage standard des cookies du navigateur.

Exemples de supercookies

Les ingénieurs de PayPal ont identifié une méthode pour calculer un score de risque de fraude dans le mécanisme d’authentification basé sur les cookies afin d’identifier les tentatives de connexion frauduleuses sur la plateforme de paiements électroniques.

Lorsqu’un système reçoit une demande d’authentification de l’appareil d’un utilisateur, il identifie les différents emplacements de stockage des cookies sur l’appareil et les trie « par ordre d’augmentation du risque de fraude ». »

« Une valeur de cookie pour chaque emplacement de stockage est récupérée à partir de l’appareil. Pour chaque emplacement de stockage après le premier: une valeur de cookie attendue est calculée en fonction de la valeur de cookie d’un emplacement de stockage précédent », lit-on dans le résumé de la demande de brevet.

Le système de PayPal évalue ensuite un score de risque en comparant les valeurs attendues des cookies avec les valeurs attribuées pour les emplacements de stockage de l’appareil.

« La demande d’authentification est traitée sur la base du fait que le score attribué pour au moins l’un des emplacements de stockage dépasse une tolérance au risque prédéterminée pour la détection de fraude. »

Logique du système

Sur la base de l’évaluation des risques, le système gère les demandes d’authentification en conséquence, acceptant, rejetant ou activant des mesures de sécurité supplémentaires pour l’approbation de la tentative de connexion.

Pour garantir la sécurité contre la falsification, les valeurs des cookies récupérées sont cryptées à l’aide d’un algorithme cryptographique à clé publique.

Processus de chiffrement et de comparaison des valeurs

Le brevet de PayPal décrit une méthode qui vise à se défendre contre les cyberattaques en s’assurant que les cookies sont utilisés légitimement pendant le processus d’authentification.

Le géant des paiements électroniques a déposé le brevet intitulé « Identification de Super-Cookies pour la détection de Cookies volés » en juillet 2022, et il a été publié par l’Office des brevets et des marques des États-Unis plus tôt ce mois-ci.

Comme pour tous les brevets, il n’y a aucune garantie que la technologie décrite dans le document atteindra les portails des consommateurs, sous cette forme ou sous une autre, mais cela montre que les cookies Web volés pour des connexions non autorisées sont un problème suffisant pour mériter de nouveaux mécanismes de protection.

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *