Gmail : une faille majeure permettait aux pirates d’usurper l’identité de n’importe quel utilisateur

Une chercheuse en sécurité vient de dévoiler une faille majeure affectant les serveurs de Gmail depuis plusieurs mois. Elle permettait aux pirates d'envoyer des emails usurpés avec l'adresse de n'importe quel compte.

Gmail

Alors que les utilisateurs de Gmail ont eu du mal à utiliser le service pendant plusieurs heures hier, Google corrigeait dans le même temps une vulnérabilité critique qui n'avait rien à voir avec la panne mondiale. Selon la chercheuse en sécurité Allison Husain, qui a trouvé et signalé la faille à Google depuis le mois d'avril, celle-ci permettait à des pirates d'usurber un compte Gmail ou G Suite tout en contournant des protocoles de sécurité qui protègent les utilisateurs contre ce type d'attaque.

En quoi consiste cette faille de Gmail ?

Des protocoles de sécurité permettent aux opérateurs de domaine d'associer leurs noms de domaines à des adresses IP spécifiques. Cela permet aux serveurs de messagerie de réception de déceler toute tentative d'usurpation d'adresse en comparant l'IP du serveur d'expédition à une liste d'IPs autorisées. Si l'adresse IP de l'expéditeur ne figure pas dans la liste, le serveur de messagerie peut rejeter le message et empêcher les e-mails frauduleux d'atteindre les boîtes de réception des utilisateurs.

L'authentification des domaines est assurée par les normes de sécurité SPF (Sender Policy Framework) et DMARC (Domain-based Message Authentication, Reporting and Conformance). La chercheuse a publié une preuve de concept qui montre comment il est possible de contourner ces protocoles en abusant d'une faille dans les règles de validation de Gmail et G Suite pour envoyer un email usurpé depuis le back-end de Google afin que les serveurs de messagerie du récepteur l'authentifient.

« De plus, le message provenant du back-end de Google, il est probable que son score de spam soit encore plus faible, et qu'il soit donc encore moins filtré », ajoute Allison Husain qui précise que les deux vulnérabilités sont propres à Google uniquement.

Google a déployé un correctif après plus de 4 mois

La chercheuse a déclaré avoir informé Google du bug en avril, mais pour des raisons que l'on ignore, la firme n'a déployé un correctif que quelques heures après la publication du rapport le 19 août. Il s'agit pourtant d’une faille majeure qui aurait pu être exploitée par des attaquants ou des spammeurs pour conduire des campagnes de fraude aux conséquences préjudiciables pour les victimes. Les mesures d'atténuation de Google ont été déployées côté serveur, ce qui signifie que les clients Gmail et G Suite n'ont rien à faire pour s'en prémunir.

 


La rédaction vous conseille aussi...

Réagissez à cet article !

Demandez nos derniers articles !

Canal+ aurait déclaré la guerre à Disney : il l’accuserait d’avoir siphonné une partie de ses données clients

Canal+ multiplie les procédures pour faire valoir ses droits. Mais le groupe audiovisuel français ne s’attaque pas seulement aux sites pirates et aux SmartTV : il aurait assigné Disney, l’un de…

Samsung Galaxy A57 : grâce à ces 2 offres cumulables, le smartphone passe à prix cassé !

Sorti il y a tout juste un mois, le Galaxy A57 est actuellement proposé à prix cassé sur le site officiel de Samsung. En effet, en cumulant le code MYPHONE…

Cette interdiction de Google censée lutter contre le piratage aurait eu l’effet totalement inverse

Google a interdit les publicités pour ebooks sur sa plateforme pour lutter contre le piratage. Mais selon des éditeurs qui le poursuivent en justice, seuls les vendeurs légaux auraient été…

Deux frères se font licencier, ils effacent les bases de données du gouvernement en à peine 5 minutes

Vous vous demandez pourquoi certaines entreprises suppriment les accès des employés avant de leur annoncer leur licenciement ? Cette histoire rocambolesque y répond parfaitement. Se faire licencier n’est jamais plaisant….

Amazon Fire TV Stick 4K Plus à -43% : le lecteur multimédia passe à petit prix !

Vous souhaitez connecter votre TV en un rien de temps ? Amazon propose actuellement son Fire TV Stick 4K Plus à 39,99€ au lieu de 69,99 €. C’est le bon moment pour…

Vous pouvez désormais concevoir n’importe quel widget Android grâce à cette idée de génie de Google

Les widgets Android sont souvent les mêmes pour tout le monde. Google vient d’annoncer une façon inédite d’en créer un qui vous ressemble vraiment. Une simple phrase suffit pour que…

Cette vidéo nous montre Aluminum OS, le nouveau concurrent de Windows basé sur Android

Aluminum OS, le système basé sur Android et successeur de Chrome OS, qui sera installé sur les nouveaux PC portables Googlebook, se montre dans une longue vidéo de 16 minutes….

PC

Le bouclier antimissile de Trump affiche une facture qui dépasse le PIB des Pays-Bas

Donald Trump veut couvrir les États-Unis d’un bouclier antimissile spatial. Un rapport officiel vient d’estimer sa facture réelle, et le chiffre est vertigineux. Ce projet divise déjà profondément, et sa…

Le prix du forfait mobile Série Free augmente, voici le nouveau tarif

Contre une dizaine de Go supplémentaires, Free augmente le prix de son forfait mobile 5G le plus abordable, qui devient plus cher que son équivalent chez RED by SFR. Free…

Le Steam Controller fait quelque chose de très innatendu quand il tombe (et c’est hilarant)

Un membre de Reddit a découvert un easter egg glissé par les équipes de Valve dans le Steam Controller. Si la manette tombe par mégarde, il est possible que celle-ci…

Retrouvez sur Phonandroid toute l’actualité autour de l’OS mobile de Google. Le site est une véritable mine d’or autour des produits Android et bien plus ! Vous cherchez un téléphone ou souhaitez maîtriser parfaitement le votre ? Nos articles, dossiers et tutoriels sont là pour vous informer et vous guider. Votre smartphone n’aura plus aucun secret pour vous. Nous vous ferons découvrir les meilleures applications android sur le Google Play. Si les tablettes vous intéressent, vous pourrez suivre l’actualité des différentes marques. Elles sont nombreuses et s’y retrouver est compliqué. Phonandroid et son forum sont là pour vous informer et vous guider.