Gmail : une faille majeure permettait aux pirates d’usurper l’identité de n’importe quel utilisateur

Une chercheuse en sécurité vient de dévoiler une faille majeure affectant les serveurs de Gmail depuis plusieurs mois. Elle permettait aux pirates d'envoyer des emails usurpés avec l'adresse de n'importe quel compte.

Gmail

Alors que les utilisateurs de Gmail ont eu du mal à utiliser le service pendant plusieurs heures hier, Google corrigeait dans le même temps une vulnérabilité critique qui n'avait rien à voir avec la panne mondiale. Selon la chercheuse en sécurité Allison Husain, qui a trouvé et signalé la faille à Google depuis le mois d'avril, celle-ci permettait à des pirates d'usurber un compte Gmail ou G Suite tout en contournant des protocoles de sécurité qui protègent les utilisateurs contre ce type d'attaque.

En quoi consiste cette faille de Gmail ?

Des protocoles de sécurité permettent aux opérateurs de domaine d'associer leurs noms de domaines à des adresses IP spécifiques. Cela permet aux serveurs de messagerie de réception de déceler toute tentative d'usurpation d'adresse en comparant l'IP du serveur d'expédition à une liste d'IPs autorisées. Si l'adresse IP de l'expéditeur ne figure pas dans la liste, le serveur de messagerie peut rejeter le message et empêcher les e-mails frauduleux d'atteindre les boîtes de réception des utilisateurs.

L'authentification des domaines est assurée par les normes de sécurité SPF (Sender Policy Framework) et DMARC (Domain-based Message Authentication, Reporting and Conformance). La chercheuse a publié une preuve de concept qui montre comment il est possible de contourner ces protocoles en abusant d'une faille dans les règles de validation de Gmail et G Suite pour envoyer un email usurpé depuis le back-end de Google afin que les serveurs de messagerie du récepteur l'authentifient.

« De plus, le message provenant du back-end de Google, il est probable que son score de spam soit encore plus faible, et qu'il soit donc encore moins filtré », ajoute Allison Husain qui précise que les deux vulnérabilités sont propres à Google uniquement.

Google a déployé un correctif après plus de 4 mois

La chercheuse a déclaré avoir informé Google du bug en avril, mais pour des raisons que l'on ignore, la firme n'a déployé un correctif que quelques heures après la publication du rapport le 19 août. Il s'agit pourtant d’une faille majeure qui aurait pu être exploitée par des attaquants ou des spammeurs pour conduire des campagnes de fraude aux conséquences préjudiciables pour les victimes. Les mesures d'atténuation de Google ont été déployées côté serveur, ce qui signifie que les clients Gmail et G Suite n'ont rien à faire pour s'en prémunir.

 


La rédaction vous conseille aussi...

Réagissez à cet article !

Demandez nos derniers articles !

iOS 26.4 est disponible, voici les nouveautés qui arrivent sur votre iPhone

Apple déploie la mise à jour vers iOS 26.4. Cette version apporte de nouvelles fonctionnalités et des correctifs de sécurité à l’iPhone. En bêta depuis mi-février, iOS 26.4 est désormais…

À quelques mois de la Coupe du Monde, Samsung annonce ses nouvelles Smart TV

Samsung présente ses nouvelles Smart TV, qui seront bientôt mises à la vente. Les modèles Mini LED sont mis à l’honneur dans cette annonce, stratégique, à quelques mois du début…

TV

Quelque chose ne tourne plus rond sur les Google Pixel depuis la mise à jour de mars

Les Google Pixel accumulent les mauvaises surprises depuis la mise à jour de mars. Un nouveau bug vient s’ajouter aux problèmes déjà signalés. Cette fois, ce sont les automatisations de…

AliExpress baisse drastiquement ses prix pour son anniversaire : dernière chance pour profiter des meilleures promos du moment

Dans quelques heures, AliExpress baissera le rideau sur son plus gros événement bon plan de ce début d’années.  Les promos disponibles dans le cadre de son anniversaire prennent fin ce…

HBO dévoile la première image de la série Harry Potter, une bande-annonce arrive (très) bientôt

La communication s’active autour de la série TV Harry Potter, qui sera diffusée par HBO Max. Une première image officielle a été dévoilée, alors que Warner suggère qu’un trailer vidéo…

Bon plan POCO F8 Ultra : le smartphone passe à petit prix, mais il va falloir faire vite !

Les promotions à l’occasion de l’anniversaire d’AliExpress prennent fin demain. Il ne vous reste que quelques heures pour profiter des offres. Si vous cherchez un smartphone haut de gamme pas…

La POCO Pad X1 512 Go passe à 229 € : une tablette performante à prix cassé

La POCO Pad X1 est en promotion sur AliExpress à un très bon prix. Cette tablette puissante, équipée d’une puce Snapdragon 7+ Gen 3 passe sous la barre des 250…

Google Messages prépare deux nouveautés : une fonction disparue revisitée et une option inédite, voici lesquelles

Google s’efforce d’améliorer son application Messages. Cela passe par l’introduction de nouvelles fonctionnalités, mais également par la restauration d’anciennes options mystérieusement disparues. Le code de la dernière version bêta de…

Android 17 : nouveautés, smartphones compatibles, calendrier de sortie, tout ce que l’on sait de la mise à jour

Android 17 est la prochaine version majeure d’Android. Cette mise à jour apporte de nouvelles fonctionnalités et une interface remaniée. Voici un tour d’horizon de tout ce qu’il faut retenir…

Neuralink permet à cet homme paralysé de jouer à World of Warcraft sans jamais toucher un écran

Un vétéran britannique paralysé du cou joue à World of Warcraft sans jamais toucher un écran. Cent jours après son implant Neuralink, il décrit une expérience qui tient de la…