Le chercheur en sécurité Gabriel Pato révèle en exclusivité à PerlmOl qu’il a trouvé une faille dans UOL Mail : si l’utilisateur ouvre un e-mail malveillant qui semble vide, l’attaquant peut rediriger tous les messages vers un autre compte, y compris les demandes de récupération de mot de passe. Le problème a été signalé en 2018, mais il n’a pas été corrigé ; la société affirme qu'”il n’y a aucune preuve d’échec”.
Fondamentalement, UOL Mail permet d’exécuter une commande JavaScript qui capture le jeton d’accès de l’utilisateur sans qu’il le sache, simplement en ouvrant un courriel sans pièce jointe. Cela peut être utilisé pour rediriger les messages de la victime vers une autre adresse.
La faille est présente dans la version web et l’application iPhone de UOL Mail, ainsi que dans BOL Mail. Cela pourrait également affecter le courrier électronique de Folha et le courrier d’accueil UOL, offert à ceux qui achètent des services d’hébergement.
UOL est l’un des dix domaines les plus visités sur la toile française, selon l’enquête d’Alexa Internet. Le portail met l’accent sur le courrier électronique en haut de la page et fait payer le service : 12,90 euros par mois pour 25 Go de boîte de réception plus 5 Go de sauvegarde dans le Cloud. Le courrier BOL, en revanche, est gratuit et offre 6 Go d’espace (contre 15 Go de Gmail).
PerlmOl a contacté UOL : la société ?informe qu’elle suit des protocoles de sécurité stricts et qu’il n’y a aucune preuve de défaillance dans son système de courrier électronique ?
Le courrier UOL échoue depuis plus d’un an
Gabriel affirme avoir signalé le manquement à UOL en octobre 2018, lorsqu’un membre de la société en a confirmé la réception. Quelques jours plus tard, il a été informé que l’équipe de sécurité prenait des mesures pour résoudre la brèche. Cependant, un an et sept mois plus tard, il continue à fonctionner.
Le problème du courrier UOL est lié à ce que l’on appelle le “cross-site scripting”, ou XSS : c’est lorsqu’une page web vous permet d’injecter du code à exécuter sur la machine de l’utilisateur. Le chercheur explique le test de base qu’il a utilisé pour vérifier la présence de XSS : il met la balise vidéo et, à l’intérieur, il insère une commande JavaScript qui avertit des erreurs.
/vidéo
Les principaux services de webmail (Gmail, Outlook.com, Yahoo Mail) ne diffusent pas de vidéos intégrées dans le corps d’un message car ils ignorent la balise vidéo. Pendant ce temps, UOL Mail charge cette balise et exécute toujours la commande JavaScript à l’intérieur, ce qui provoque l’apparition d’un message d’erreur (car il n’y a pas d’adresse pour la vidéo).
/vidéo
La vulnérabilité se trouve sur le client, et non sur les serveurs de messagerie UOL. Gabriel précise qu’il n’a utilisé que ses comptes personnels dans tous les tests ; il n’y a pas eu de piratage de serveur ou autre chose de ce genre.
Avec un peu plus d’effort, il est possible de créer une attaque pour activer le transfert de courrier électronique à l’insu de la victime. Cette fonction est assurée par une adresse dans le domaine config.uol.com.br, qui utilise un jeton pour authentifier l’utilisateur.
Ce jeton d’accès peut être capturé en exécutant une commande JavaScript dans votre navigateur. Il peut être “caché” dans la balise video pour être exécuté automatiquement dès que l’utilisateur ouvre le courrier électronique.
/vidéo
Cette faille pourrait être utilisée pour obtenir des informations confidentielles, telles que des liens pour réinitialiser le mot de passe ou des codes pour une authentification à deux facteurs. Et la solution est simple : il suffit d’ajouter la commande “bac à sable” pour rendre cette attaque impossible.
Gabriel explique que, pour l’instant, la solution n’est pas d’accéder au courrier UOL par l’interface web : il recommande plutôt d’utiliser un client dédié comme Outlook via IMAP, qui n’exécutera pas les commandes JavaScript permettant de voler le jeton. Bien entendu, il est également possible de migrer vers un autre service, tel que Gmail ou Outlook.com.
Note de transparence : PerlmOl est un partenaire de contenu UOL. Cependant, notre contenu reste indépendant et n’est pas soumis à des influences extérieures sur l’équipe éditoriale.
