Un bug permettait le piratage d’un compte Samsung avec un simple lien

Samsung a corrigé une faille de sécurité qui permettait à des hackers de pirater les comptes utilisateurs, de modifier les informations et les préférences ainsi que d'en prendre le contrôle total sans moyen de les récupérer. Un simple clic sur un lien malveillant était nécessaire pour les pirates. Le chercheur en sécurité qui a répéré le bug a obtenu une récompense de 13 300 dollars. 

Un chercheur en sécurité informatique, l'Ukrainien Artem Moskowsky, a découvert une faille de sécurité permettant à des hackers de pirater et prendre le contrôle d'un compte Samsung seulement en parvenant à faire cliquer un utilisateur sur un lien malveillant, rapporte ZDNet.

Samsung récompense le chercheur pour la découverte du bug

Ce sont en fait trois bugs liés à la même déficience, une vulnérabilité des services d'authentification web de type cross-site request forgery (CSRF), qui ont été mis en cause. Ils permettaient aux attaquants de changer les détails du profil, de désactiver l'authtification à double-facteur et de changer la question de sécurité pour la récupération de son compte ou pour le changement du mot de passe. De quoi s'emparer définitivement du compte Samsung.

Lire aussi : Piratage du ministère des Affaires étrangères : des données sensibles sur les Français ont été volées

La vulnérabilité a été communiquée à Samsung, qui a depuis rectifié le tir. Le groupe sud-coréen a rémunéré Artem Moskowsky 13 300 dollars pour l'avoir prévenu. Ce dernier est d'ailleurs un spécialiste de ce genre d'actions. Il est ce qu'on appelle un “chasseur de primes” moderne. Il traque les failles de sécurité dans les logiciels et systèmes des grands groupes tech à la recherche de failles de sécurité encore inconnues. Il est ensuite payé quand il parvient à identifier un bug critique. Il y a quelques semaines, il avait déjà récupéré 25 000 dollars de récompense pour avoir identifié une faille sur Steam permettant de se procurer une clé pour n'importe quel jeu