Samedi 13 août 2022 - 18:06 | A ne pas manquer : Le 21 Juillet 2022 - Réunion de la Banque Centrale Européenne
Point des marchés : Chine, PIB britannique, pétrole, or, bitcoin
Vendredi 12 août 2022 17:38
Point des marchés : Inflation, PBOC, PIB de Singapour, pétrole, or, bitcoin
Jeudi 11 août 2022 18:41
Recommandé  Bourse : Le CAC 40 devrait ouvrir en hausse au lendemain de l`inflation, à suivre Valneva...
Jeudi 11 août 2022 08:40
Bourse : Le CAC 40 termine en hausse après l`inflation US, Alstom et Eutelsat recherchés,...
Mercredi 10 août 2022 18:27
CRYPTO sécurité

Découverte d'une vulnérabilité api sur une plateforme de cryptomonnaie

Cet article a été publié le samedi 13 août 2022 à 18:06 .Il fait partie de la   Lire la suite
catégorie CRYPTO et de la sous-catégorie sécurité.
Par : La rédaction  Jeudi 7 juillet 2022 à 14:09
4/5 Classement
  Temps de lecture : 3 min




La faille d'authentification détectée par Salt Labs aurait pu déclencher des attaques ATO d'une grande envergure.

Salt Security, le premier spécialiste en sécurisation des API, a publié une nouvelle étude réalisée par Salt Labs sur les menaces ciblant les API qui met en évidence une vulnérabilité API sur une importante plateforme de cryptomonnaies proposant des portefeuilles en ligne. Comptant deux millions d'utilisateurs à travers le monde, cette plateforme offre un large éventail de services permettant aux clients d'acheter et d'échanger des cryptomonnaies sur Internet. Découverte par Salt Labs, la faille de sécurité en question, en lien avec l'utilisation d'identifiants d'authentification externe, pouvait déclencher des attaques ATO d'une grande envergure, autrement dit des prises de contrôle des comptes clients. La vulnérabilité aurait pu permettre le vol de centaines de millions de dollars dans des portefeuilles de crypto-monnaies.

Les chercheurs de Salt Labs ont repéré cette vulnérabilité au niveau de la fonction « Connexion » de la plateforme, plus précisément avec l'authentification Google. Comme nombre de méthodes d'authentification externe, Google utilise un protocole OIDC (OpenID Connect) standard, qui lui-même s'appuie sur un autre standard d'autorisation répandu, OAuth 2.0. Étant donné que la plateforme de cryptomonnaies n'implémentait pas correctement le protocole OIDC, la demande d'authentification côté utilisateur pouvait être envoyée au serveur applicatif et non au service OIDC exclusivement.

Cette vulnérabilité aurait pu être exploitée par des pirates aux fins ci-après :

- virer le solde d'un compte sur le portefeuille crypto d'un utilisateur ou un compte bancaire privé ;

- prendre la main sur la majeure partie du compte d'un utilisateur au niveau du système ;

- accéder intégralement au compte d'un utilisateur et virer les fonds sur le support de son choix, mais aussi réaliser toute autre opération financière en son nom.

« Les plateformes de cryptomonnaies s'appuient sur les API pour garantir la connectivité des données servant de dynamique à leurs services en ligne », précise Yaniv Balmas, vice-président du pôle Études/Recherches chez Salt Security. « L'étude de Salt Labs met en évidence les dangers que peut faire naître une erreur de configuration d'API et souligne la nécessité de renforcer la visibilité sur ces vastes écosystèmes API aux fins de protéger les services critiques et les précieuses données clients. Une faille de sécurité même mineure peut ruiner une activité. »

Les plateformes de cryptomonnaies représentent une cible de choix pour les pirates, comme le prouvent une nouvelle fois les 100 millions de dollars en crypto dérobés la semaine dernière à Horizon, un « pont » inter-blockchain développé par la start-up Harmony.

D'après le rapport Salt Security « State of API Security Report », 1er trimestre 2022, 95 % des entreprises ont recensé un incident de sécurité concernant une API au cours des 12 derniers mois. Les écosystèmes API des plateformes de cryptomonnaies sont gigantesques, offrant aux clients un accès à leurs portefeuilles crypto et leur permettant d'acheter, d'échanger, d'emprunter et de gagner facilement des cryptomonnaies. La plateforme de cryptomonnaies évaluée par Salt Labs était exposée à deux problèmes API fréquents :

- erreur de configuration en matière de sécurité (API-7) ;

- manque de ressources et limitation de débit (API-4).

Dès la découverte de la vulnérabilité, les chercheurs de Salt Labs ont observé des pratiques de divulgation parfaitement coordonnées, et tous les problèmes ont été corrigés.

La plateforme Salt Security de protection des API s'attèle aux types de vulnérabilités repérées sur cette plateforme de cryptomonnaies et aux autres attaques répertoriées dans le « Top 10 » des vulnérabilités API de l'OWASP. Seule solution de sécurisation des API à exploiter l'intelligence artificielle (IA) et le machine learning (ML), la plateforme Salt Security compare les activités de millions d'utilisateurs et d'appels API avec plusieurs centaines d'attributs en quasi-temps réel. Ce faisant, elle est capable de détecter les opérations de reconnaissance des acteurs malveillants et d'y mettre obstacle avant que ceux-ci n'atteignent leur objectif. Via son architecture ACE (API Context Engine) unique, cette plateforme protège les API aux stades du développement, du déploiement et de l'exécution ; elle met au jour la totalité des API et les données confidentielles exposées, repère et bloque leurs assaillants, et fait le point sur les mesures correctrices mise en œuvre en cours d'exécution dont peuvent se servir les développeurs pour renforcer les API.

Le rapport complet, englobant les recherches menées par Salt Labs et la procédure de neutralisation suivie, est accessible ici.

Pour en savoir plus sur Salt Security ou sa plateforme, ou pour demander une démonstration, accédez à l'adresse : content.salt.security/demo.html.

À propos de Salt Security

Salt Security protège les API qui forment le socle des applications d'aujourd'hui. API Protection Platform est la première solution brevetée du secteur conçue pour la prévention des attaques de nouvelle génération contre les API. Grâce à l'apprentissage automatique et à l'IA, la plateforme identifie et protège les API de façon automatique et continue. À ce jour, Salt Security propose la seule solution en mesure de relier les activités réalisées sur des millions d'API aux utilisateurs qui en sont à l'origine et de fournir une analyse en temps réel de toutes les données. Déployée en quelques minutes seulement, la plateforme Salt Security cerne avec précision le comportement des API d'entreprise et identifie et neutralise les attaques visant les API, sans configuration ni personnalisation préalable. Pour en savoir plus, rendez-vous sur salt.security.


Ce contenu est diffusé par Leguideboursier.com, il n`a qu`une portée informative et pédagogique.Les informations et données financières ainsi que les analyses diffusées par Leguideboursier.com n`ont aucune valeur contractuelle et ne constituent en aucun cas une aide à la décision, une offre de vente ou une sollicitation d`achat de valeurs mobilières ou d`instruments financiers.

La responsabilité de LeGuideBoursier.com et/ou de ses dirigeants et salariés ne peut être retenue directement ou indirectement suite à l`utilisation des informations et analyses par les lecteurs et sur la pertinence des informations diffusées.

Il est recommandé à toute personne non avertie de consulter un conseiller professionnel avant tout investissement, car le trading peut vous exposer à des pertes supérieures aux dépôts chez votre broker.

Tout investisseur doit se faire son propre jugement avant d`investir dans un produit financier afin qu`il soit adapté à sa situation financière, fiscale et légale

Auteur
Trader et investisseur pour compte propre

Thomas

Trader et investisseur à temps plein, je trade depuis de nombreuses années sur le marchés actions et il m'arrive parfois de faire du trading sur le Forex et les bourses de change en ligne ou places de marchés spécialisées dans les crypto-monnaies, notamment sur le Bitcoin.J'ai développé ma propre stratégie de trading. La durée de détention de mes trades varie, il m'arrive d'ouvrir et fermer des positions en quelques minutes. Mon portefeuille est diversifié et se compose de plusieurs classes d'actifs différentes.

Vous aimerez aussi
FOREX EUR/USD
Forex : eur/usd, l`euro remonte malgré la contraction des pmi en zone euro
Mercredi 3 août 2022 14:07
FOREX eur/usd
Forex : eur/usd, hausse prudente avant la fed
Mercredi 27 juillet 2022 14:39

0 Commentaire

Laissez un commentaire





CONTENUS SPONSORISÉS





Analyse technique, les bases pour trader en bourse
11 janvier 2021

L'analyse technique est l'une des méthodes les plus populaires utilisée par les traders pour faire de la spéculation sur les marchés boursiers.Afin de faciliter leur processus de prise de décision, de nombreux day traders et scalpers utilisent des stratégies dont le fondement est basé sur l'analyse technique.

Apprendre les chandeliers japonais
12 janvier 2021

Transmise de génération en génération et gardée secrète par les traders japonais pendant plusieurs siècles, elle apporte une vision unique sur la psychologie des marchés boursiers. Les chandeliers japonais permettent d'afficher le graphique des prix d'un actif. Ils indiquent rapidement, à l'aide de code couleurs,...

Apprendre les figures chartistes
14 janvier 2021

Le chartisme est une analyse graphique, il vient du terme anglo-saxon Chart qui désigne un graphique. Cette méthodologie graphique dont les figures plus ou moins géométriques produisent de façon récurrente des configurations qui permettent d'aider à mieux anticiper le mouvement d'un titre prend ses racines dans le...