Nominations | Classements | Juridique | Rumeurs | Success story | Entretiens | Tribunes libres | Logithèque
Accueil - Techno & Solutions 
Système/Réseaux | MoteursGmail : des données à la merci des pirates ?
Publié par 
Petko Petkov, un chercheur britannique expose cette semaine les conséquences que pourraient avoir une faille de sécurité découverte dans le service de messagerie Gmail de Google, utilisé par près de 50 millions de personnes dans le monde. Cette vulnérabilité permettrait à un attaquant malintentionné de se procurer un accès au compte d'un internaute en amenant ce dernier à naviguer sur une page infectée. L'exploitation de cette faille passe par la méthode dite du Cross-Site Request Forgeries.
Comme d'autres services en ligne, Gmail laisse ouverte la session d'un internaute après qu'il a consulté ses messages de façon à ce que celui-ci n'ait pas à saisir à nouveau ses identifiants s'il décide de retourner consulter sa boite de réception. Les identifiants sont alors stockés dans ce que l'on appelle un « cookie ».
Pour exploiter la faille dont il est question ici, il suffirait d'amener l'internaute à visiter une page infectée d'un code capable de profiter de cette passerelle ouverte vers le compte Gmail. A l'aide de ce code, il serait par exemple possible de demander à Gmail d'opérer une redirection permanente vers le mail de son choix. Ainsi, un pirate se verrait adresser tous les messages de sa victime sans que cette dernière soit au courant. L'intérêt d'une telle attaque est qu'elle reste valable tant que la victime ne modifie pas les paramètres de redirection, même si Google comble la faille ayant permis cette intrusion.
Comme le souligne Petkov, il est bien plus efficace pour un pirate d'obtenir un accès permanent aux messages de sa victime plutôt que de forcer une seule et unique fois l'accès à son compte. Pernicieuse, et plus fine, cette méthode permet un vol d'informations sur le long terme, à l'insu de la cible. Google, prévenu avant la publication de ces informations, ne s'est pas encore exprimé sur le sujet. Précisons pour finir qu'il est a priori inutile de s'inquiéter pour le moment puisque le code ayant permis de démonter l'existence de cette faille n'a pas été rendu public. Fermer sa session avant de reprendre son surf devrait permettre de se prémunir de ce type d'attaque.
Comme d'autres services en ligne, Gmail laisse ouverte la session d'un internaute après qu'il a consulté ses messages de façon à ce que celui-ci n'ait pas à saisir à nouveau ses identifiants s'il décide de retourner consulter sa boite de réception. Les identifiants sont alors stockés dans ce que l'on appelle un « cookie ».
Pour exploiter la faille dont il est question ici, il suffirait d'amener l'internaute à visiter une page infectée d'un code capable de profiter de cette passerelle ouverte vers le compte Gmail. A l'aide de ce code, il serait par exemple possible de demander à Gmail d'opérer une redirection permanente vers le mail de son choix. Ainsi, un pirate se verrait adresser tous les messages de sa victime sans que cette dernière soit au courant. L'intérêt d'une telle attaque est qu'elle reste valable tant que la victime ne modifie pas les paramètres de redirection, même si Google comble la faille ayant permis cette intrusion.
Comme le souligne Petkov, il est bien plus efficace pour un pirate d'obtenir un accès permanent aux messages de sa victime plutôt que de forcer une seule et unique fois l'accès à son compte. Pernicieuse, et plus fine, cette méthode permet un vol d'informations sur le long terme, à l'insu de la cible. Google, prévenu avant la publication de ces informations, ne s'est pas encore exprimé sur le sujet. Précisons pour finir qu'il est a priori inutile de s'inquiéter pour le moment puisque le code ayant permis de démonter l'existence de cette faille n'a pas été rendu public. Fermer sa session avant de reprendre son surf devrait permettre de se prémunir de ce type d'attaque.
Pour aller plus loin Les actualités précédentes - Techno & Solutions
Les Commentaires des lecteurs
Entretiens
Nate ElliottDirecteur de recherche, Jupite...
"Marques et réseaux sociaux doivent impliquer l'internaute pour réussir"
Pascal LardinoisDirecteur général de zetVision...
"Le rachat de l'activité CIM de BO par zetVisions est une chance"
Thierry TEISSEIREDirecteur général MicroStrateg...
"MicroStrategy est un éditeur indépendant de BI et compte le rester"
Les valeurs High TechDonnées mises à jour en différé - 24/07/2008 21:50
| CAC 40 | 4 347,99 |
-1,38 % |
| CAC IT20 | 3 859,02 |
-0,77 % |
| Nasdaq 100 Tech | 2 289,01 |
-1,59 % |
| Nasdaq 100 Tech | 989,93 |
-2,65 % |
 | ||
| Baidu | 337,00 $ |
+16,73 % |
| Seloger.com | 16,00 € |
+14,29 % |
| Amazon.com | 80,15 $ |
+13,62 % |
| Senior Planet | 3,27 € |
+9,00 % |
| Outremer Telecom | 5,88 € |
+3,70 % |
| Looksmart | 2,97 $ |
+3,48 % |
 | ||
| Spir Communication | 34,00 € |
-7,10 % |
| Sandisk | 13,48 $ |
-7,48 % |
| Cibox | 0,21 € |
-8,70 % |
| Infogrames | 0,10 € |
-9,09 % |
| Trader.com | 0,08 € |
-11,11 % |
| Maporama | 0,18 € |
-25,00 % |
 | ||
| Microsoft | 25,48 $ |
-3,59 % |
| Intel | 21,70 $ |
-2,69 % |
| Alcatel Lucent | 3,91 € |
1,03 % |
| Cisco | 21,78 $ |
-1,76 % |
| France Telecom | 19,37 € |
1,33 % |
| Amazon.com | 80,15 $ |
13,62 % |
 |
Afficher Neteco sur votre site (flux RSS) | Publicité | CGU | Confidentialité | Contact | Presse |
| Copyright © 1997-2008, Neteconomie - Groupe Cyréalis. Tous droits réservés. |
Echange de Liens : Santé AZ (Maladies) - Pixmania (GPS)