Black Hat Europe 2025 : plusieurs techniques de piratage permettent aux chercheurs de contourner la validation des signatures XML tout en présentant une documentation SAML valide à une application.
Les chercheurs ont découvert de nouvelles techniques permettant de briser l’authentification basée sur SAML, sapant ainsi les garanties de sécurité offertes par le protocole d’authentification vieillissant et encore largement utilisé.
SAML (Security Assertion Markup Language) constitue l’épine dorsale des technologies d’authentification unique (SSO) d’entreprise depuis plus de 20 ans.
Lors d’une présentation à la conférence Black Hat Europe mercredi, le chercheur en sécurité de PortSwigger, Zak Fedotkin, a démontré de nouvelles techniques pour briser le protocole en exploitant des failles subtiles dans la gestion XML.
Les hacks développés par Fedotkin ont permis de contourner complètement l’authentification dans les écosystèmes Ruby et PHP SAML.
De multiples faiblesses de sécurité étaient en jeu et celles-ci ont ouvert la porte au développement d’une pollution d’attributs, d’une confusion dans les espaces de noms et d’une nouvelle classe d’attaques de canonisation vide, entre autres, comme détaillé dans un article de blog de PortSwigger.
La présentation, qui s’appuie sur des recherches antérieures sur les failles de sécurité de SAML, comprenait une démonstration d’une attaque sur une instance vulnérable de GitLab Enterprise Edition 17.8.4.
L’exploitation de plusieurs incohérences au niveau de l’analyseur a permis de développer des exploits fiables et furtifs contre plusieurs autres implémentations SAML.
Les attaques étaient possibles car plusieurs techniques de piratage permettaient aux attaquants potentiels de contourner complètement la validation de signature XML tout en présentant un document SAML valide à une application.
En combinant un exploit Ruby-SAML avec des recherches antérieures, l’équipe de PortSwigger a pu contourner les contrôles d’accès aux e-mails pour créer une fausse réponse SAML, créer un nouveau compte et finalement contourner l’authentification sur une plate-forme SaaS encore sans nom.
Fedotkin a publié une boîte à outils open source conçue pour identifier et exploiter ces vulnérabilités dans d’autres déploiements SAML réels.
Correctifs nécessaires mais insuffisants sans « refonte fondamentale »
PortSwigger a partagé les détails de la vulnérabilité Ruby-SAML 1.12.4 avec le responsable en avril. Les vulnérabilités CVE-2025-66568 et CVE-2025-66567 correspondantes ont été corrigées début décembre.
Le chercheur a déclaré qu’une remédiation complète et durable nécessite une restructuration significative des bibliothèques SAML existantes.
« De tels changements peuvent introduire des problèmes de compatibilité ou des régressions, mais ils sont essentiels pour garantir la robustesse de l’analyse XML, de la validation des signatures et de la logique de canonisation », a conclu Fedotkin. « Sans cette refonte fondamentale, l’authentification SAML restera vulnérable aux mêmes classes d’attaques qui persistent depuis près de deux décennies. »
