SAML et systèmes SSO : une vulnérabilité détectée

L’usurpation d’identité est au centre de l’incontournable SAML, et de nombreux systèmes SSO sont concernés. Une découverte signalée par Duo Security. Le SAML est un protocole ouvert incontournable du contrôle d’accès. Les équipes de Duo Security ont détecté une vulnérabilité qui concerne un produit, mais n’excluant pas cinq autres. Cette faille permet à une personne possédant déjà un accès authentifié dans le SSO de se présenter sous le nom d’un autre utilisateur sans passer par une nouvelle authentification.

Une faille facile à exploiter

C’est lors d’un examen de routine que la défaillance a été détectée. Présentée comme une vulnérabilité, c’est l’ingénieur chargé de la sécurité applicative chez Duo qui l’a découverte. Il s’appelle Kelby Ludwig et il l’a détectée dans la passerelle réseau de l’éditeur. Il a ensuite localisé le problème dans les produits SSO de One Login, Clever, OmniAuth et Shibboleth. C’est à travers la gestion des commentaires XML dans les réponses SAML que le problème se base. Il réside ainsi dans la manière dont les librairies open Source gèrent ces fameux commentaires. Le processus peut se faire par exemple par le biais de l’hameçonnage. Une fois qu’un arnaqueur obtient les identifiants d’un utilisateur, il sera en  mesure d’intercepter les réponses SAML adressées à l’application demandant l’authentification. L’arnaqueur modifie les réponses au profit de son propre usage. Il s‘agit d’une technique répandue pour permettre d’ouvrir une session comme un autre utilisateur. La pratique d’hameçonnage étant très répandue sur le net, les pièges sont d’autant plus efficaces en profitant de la présence de la faille, ce qui permet une forme de « permutation » plus facile.

Un cas problématique

Le bug est vite devenu une opportunité pour les hackers. Kelby Ludwig affirme que le bug permet de mettre en œuvre une technique simple. Il n’y a qu’à intercepter le message SAML et de changer sept caractères. Les comptes ouverts sont les plus visés alors que ceux provisionnés manuellement sont plus protégés. Un cas qui laisse à considérer que ce sont les fournisseurs d’identité, qui autorisent l’enregistrement des comptes ouverts, qui sont les plus touchés. Bien qu’étant intercepté comme une vulnérabilité dans SAML, il s’agit plus d’une incompréhension de la manière dont il est utilisé. En effet, la faille permet à un attaquant d’utiliser un compte utilisateur avec des privilèges plus notables alors qu’au départ il ne pouvait profiter que de privilèges restreints. Bien que tous les éditeurs ne soient pas concernés par ce problème, la situation demeure critique. Et il n’est pas à exclure également que d’autres fournisseurs puissent déjà être touchés. Certains éditeurs du système SSO utilisant SMAL sont épargnés comme Box, Okta, Ping Indentity et Pivotal. Les cas de Google, Cisco, Ilex et Microsoft demeurent cependant en suspens, car les informations les concernant ne sont pas encore précises. Ces renseignements relatifs à ces éditeurs ont été publiés par le CERT de l’Institut d’ingénierie logicielle de l’université Carnégie-Mellon en coordination avec Duo Security. Ce dernier suit le fil de l’évolution de cette faille en vue d’analyser les situations en temps réel.