Une faille permet de pirater facilement votre mot de passe Google

Maj. le 18 avril 2016 à 15 h 52 min

Un utilisateur de Reddit vient de poster un article racontant comment son fils a pu réinitialiser le mot de passe de son téléphone pour acheter une application sur le Play Store. Et non, le gamin n’est pas un Mozart du hacking, la reset a été très simple. Il n’a même pas eu à entrer une seule information du compte pour pouvoir changer le mot de passe. Voici l’article :

google android securité

Allez on est sympa, voici la trad’. Mais franchement les mecs, si vous pouvez pas comprendre ça, faut vraiment vous mettre à l’anglais.

Je viens de découvrir ce qui semble etre une brèche énorme. S’il vous plait, que quelqu’un me dise si ce qui suit est logique?
Mon fils était en train de jouer sur mon téléphone (un Galaxy S3). Il a essayé de faire des achats in-app sur le jeu Subway Surfer mais ne connaissait pas le mot de passe. Il a donc suivi les étapes qui suivent pour réinitialiser mon mot de passe depuis mon téléphone sans avoir à rentrer la moindre information relative au compte :
En partant de l’écran après avoir cliqué sur « acheter »

  1.  Appuyez sur le point d’interrogation à côté du champ mot de passe quand on vous demande de confirmer le mot de passe pour acheter.
  2. Cliquez sur « mot de passe oublié »
  3. Cliquez sur « je ne sais pas »
  4. Laissez la case cochée sur « confirmer la reinitialisation du mot de passe sur mon téléphone Samsung Android SCH-I535 »
  5. Cliquez sur « oui »
  6. Cliquez sur « autoriser la réinitialisation du mot de passe »
  7. Entrez et confirmer le nouveau mot de passe.

Et cela a permis à quelqu’un n’ayant aucune information sur mon compte Google, et ayant seulement accès à mon telephone, de changer le mot de passe de tout mon compte Google .

karcirate

Et le pire, c’est que ça n’est même pas une faille récente. Ça a toujours été possible. Voilà ce qui pourrait faire plaisir à Apple qui avait déjà dénoncé le Play Store aux autorités de la concurrence. Soulignons quand même que le problème ne concerne que les moins prudents d’entre nous. Le truc, c’est que notre victime ici n’a pas activé la vérification en deux étapes.

Donc si c’est également votre cas, vous savez quoi faire. Une chose à noter ; cette option permettra à Google de vous envoyer un code de vérification (démarche classique, on est bien d’accord). Sauf que l’astuce, c’est qu’il ne faut pas lui dire de nous l’envoyer par SMS, parce qu’évidemment, celui qui veut changer votre mot de passe a votre téléphone dans les mains !

Il faut donc choisir le mail. Et pour la même raison que précédemment, il ne faut pas choisir une adresse étant stockée sur le téléphone, logique non ? Du coup, nous vous conseillons d’utiliser votre adresse [email protected] Vous savez, c’est celle qui vous sert à vous inscrire sur des sites quand vous craignez le spam.

Via

Réagissez à cet article !
  • Martin

    Sinon il ya aussi Yopmail ;)

  • Android77

    Ouais :/
    Avant ça, avoir confiance à qui on prête son téléphone déverrouillé.
    Toujours verrouiller son téléphone.

    • toto

      C’est son fils :) je pense qu’elle soit avoir confiance hein :D

  • Atlas

    Est-ce que ça a été confirmé? Je trouve bizarre que personne n’ait trouve ça avant, ça a l’air super simple à faire.

    • toto

      Oui la connerie humaine à été confirmée

  • NIPSEN

    Ce n’est pas vraiment une faille.

    • Stef80

      C’est une faille PEBKAC ;)

  • Tux

    Donnes ta carte bleue à un inconnue et plaint toi qu’il à réussit à vider ton compte en faisant des achats par internet sans connaitre la moindre information sur toi…

    • toto

      c’est ça !

  • Marc Le-corguillé

    J’ai plutôt l’impression que son fils à réinitialisé le mot de passe et comme sur son S3 il a accès à la boite mail il a pu valider le changement de mot de passe et rien d’autre c’est bien trop gros pour être vrai…

  • ZakiC

    En plein dans le mille ! LOL

  • Stef80

    C’est pas une faille à proprement parler. Il existe sur Android, comme sur d’autres systèmes, une double authentification pour la réinitialisation du mot de passe. Le mec ne l’a tout simplement pas activé !
    Et puis… c’est pas une vieille affaire qui ressort ? Il me semble avoir déjà lu ça quelque part…

    • toto

      En effet ce n’est pas une faille, mais les médias bandent vite sur ce genre de sujet

Abonnez-vous gratuitement à la newsletter
Chaque semaine, le meilleur de Phonandroid dans votre boite mail !
Demandez nos derniers articles !
241448e4d643400a6049e58078d83084-----------