Un bug permettait le piratage d’un compte Samsung avec un simple lien

Samsung a corrigé une faille de sécurité qui permettait à des hackers de pirater les comptes utilisateurs, de modifier les informations et les préférences ainsi que d’en prendre le contrôle total sans moyen de les récupérer. Un simple clic sur un lien malveillant était nécessaire pour les pirates. Le chercheur en sécurité qui a répéré le bug a obtenu une récompense de 13 300 dollars. 

compte samsung

Un chercheur en sécurité informatique, l’Ukrainien Artem Moskowsky, a découvert une faille de sécurité permettant à des hackers de pirater et prendre le contrôle d’un compte Samsung seulement en parvenant à faire cliquer un utilisateur sur un lien malveillant, rapporte ZDNet.

Samsung récompense le chercheur pour la découverte du bug

Ce sont en fait trois bugs liés à la même déficience, une vulnérabilité des services d’authentification web de type cross-site request forgery (CSRF), qui ont été mis en cause. Ils permettaient aux attaquants de changer les détails du profil, de désactiver l’authtification à double-facteur et de changer la question de sécurité pour la récupération de son compte ou pour le changement du mot de passe. De quoi s'emparer définitivement du compte Samsung.

Lire aussi : Piratage du ministère des Affaires étrangères : des données sensibles sur les Français ont été volées

La vulnérabilité a été communiquée à Samsung, qui a depuis rectifié le tir. Le groupe sud-coréen a rémunéré Artem Moskowsky 13 300 dollars pour l’avoir prévenu. Ce dernier est d’ailleurs un spécialiste de ce genre d’actions. Il est ce qu’on appelle un « chasseur de primes » moderne. Il traque les failles de sécurité dans les logiciels et systèmes des grands groupes tech à la recherche de failles de sécurité encore inconnues. Il est ensuite payé quand il parvient à identifier un bug critique. Il y a quelques semaines, il avait déjà récupéré 25 000 dollars de récompense pour avoir identifié une faille sur Steam permettant de se procurer une clé pour n’importe quel jeu

Réagissez à cet article !
Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
Téléchargez GHIDRA et prenez vous pour un espion de la NSA

Le logiciel GHIDRA utilisé par la NSA pour repérer et contrer des programmes malveillants est désormais disponible gratuitement pour tous. Open-source, il peut même être amélioré par la communauté.  Comme promis, la National Security Agency (NSA) des États-Unis a rendu…

CMS : 90% des sites web piratés utilisent WordPress

90% des sites web piratés utilisant un CMS tournent sous WordPress d’après Sucuri, une entreprise spécialisée en sécurité web. Les sites e-commerce sont particulièrement prisés des hackers pour la simple raison qu’ils permettent d’accéder aux données bancaires des utilisateurs. Ce…

Windows : le nombre d’attaques phishing a explosé en 2018

Microsoft révèle dans son rapport Security Intelligence Report 2018 quelle cybermenaces ont visé l’écosystème Windows au cours de l’année passée. Le nombre d’attaques phishing a explosé de 150% tandis que le nombre de ransomware est en déclin. Globalement, le rapport relève…

Chrome : 85% des extensions se moquent de votre vie privée

Une étude Duo Labs autour des extensions Chrome révèle que 85% d’entre elles n’ont aucune politique en matière de vie privée – un document qui explique clairement comment vos données seront utilisées en cas de collecte. Pour en arriver à…

Attention, ce câble USB peut pirater n’importe quel ordinateur

Ce câble USB modifié permet à un attaquant de pirater n’importe quel ordinateur. Conçu par un chercheur en cybersécurité, cet accessoire peut réagir à des commandes à distance transmises par un pirate. Bientôt produit en masse, il est destiné à mettre en garde le grand public…