Avertissement de sécurité Amazon Pay APSA2016-01
Faux message à propos du kit de développement Amazon Pay et Connectez-vous avec Amazon
À qui s'adresse cet avertissement ?
Cet avertissement ne s'applique qu'aux développeurs qui utilisent les kits SDK Amazon Pay et Login with Amazon Pay v1. Pour obtenir la version la plus récente d'Amazon Pay, consultez la documentation du développeur.
Résumé
Il se peut que de faux messages SNS relatifs à Amazon Pay et Connectez-vous avec Amazon soient considérés comme étant valides. Les kits de développement ont été mis à jour afin de valider l'endpoint du certificat TLS à la réception des notifications de paiement.
Logiciels concernés
Cet avertissement concerne les versions logicielles suivantes :
Kit de développement Amazon Pay et Connectez-vous avec Amazon
Language |
Version |
Lien |
C# |
v1.0.14 et versions antérieures |
https://github.com/amzn/login-and-pay-with-amazon-sdk-csharp |
Java |
v1.0.16 et versions antérieures |
|
PHP (ancien) |
v1.0.14 et versions antérieures |
https://github.com/amzn/login-and-pay-with-amazon-sdk-php/tree/Legacy-US |
PHP (nouveau) |
v1.0.0 |
|
Python |
v1.0.0 |
https://github.com/amzn/login-and-pay-with-amazon-sdk-python |
Actions suggérées
Amazon conseille d'effectuer une mise à niveau vers la version la plus récente du kit de développement. Cette version intègre des dispositifs de protection supplémentaires contre les faux messages. Consultez le tableau des logiciels concernés pour connaître les versions affectées.
Foire aux questions relative à l'avertissement
De quoi l'auteur de l'attaque a-t-il besoin ?
L'auteur de l'attaque doit élaborer un message SNS en connaissant les réponses attendues par votre application. Ces messages peuvent être reconnus à tort par l'application comme des messages valides.
J'ai effectué des achats sur Amazon ou d'autres sites avec Amazon Pay. Mes informations sont-elles en sécurité ?
Oui. Ce problème ne compromet pas la confidentialité des données clients.
Informations complémentaires
Documentation
Pour obtenir de la documentation sur les kits de développement, rendez-vous sur https://payments.amazon.fr/developer/documentation.
Assistance
Consultez les rubriques d'aide à l'adresse https://payments.amazon.fr/help.
Remerciements
À John Jean pour nous avoir aidés à identifier ce problème.
Révision
V1.0 — Avertissement publié le 18 avril 2016