Gmail : une faille majeure permettait aux pirates d’usurper l’identité de n’importe quel utilisateur

Une chercheuse en sécurité vient de dévoiler une faille majeure affectant les serveurs de Gmail depuis plusieurs mois. Elle permettait aux pirates d'envoyer des emails usurpés avec l'adresse de n'importe quel compte.

Alors que les utilisateurs de Gmail ont eu du mal à utiliser le service pendant plusieurs heures hier, Google corrigeait dans le même temps une vulnérabilité critique qui n'avait rien à voir avec la panne mondiale. Selon la chercheuse en sécurité Allison Husain, qui a trouvé et signalé la faille à Google depuis le mois d'avril, celle-ci permettait à des pirates d'usurber un compte Gmail ou G Suite tout en contournant des protocoles de sécurité qui protègent les utilisateurs contre ce type d'attaque.

En quoi consiste cette faille de Gmail ?

Des protocoles de sécurité permettent aux opérateurs de domaine d'associer leurs noms de domaines à des adresses IP spécifiques. Cela permet aux serveurs de messagerie de réception de déceler toute tentative d'usurpation d'adresse en comparant l'IP du serveur d'expédition à une liste d'IPs autorisées. Si l'adresse IP de l'expéditeur ne figure pas dans la liste, le serveur de messagerie peut rejeter le message et empêcher les e-mails frauduleux d'atteindre les boîtes de réception des utilisateurs.

L'authentification des domaines est assurée par les normes de sécurité SPF (Sender Policy Framework) et DMARC (Domain-based Message Authentication, Reporting and Conformance). La chercheuse a publié une preuve de concept qui montre comment il est possible de contourner ces protocoles en abusant d'une faille dans les règles de validation de Gmail et G Suite pour envoyer un email usurpé depuis le back-end de Google afin que les serveurs de messagerie du récepteur l'authentifient.

« De plus, le message provenant du back-end de Google, il est probable que son score de spam soit encore plus faible, et qu'il soit donc encore moins filtré », ajoute Allison Husain qui précise que les deux vulnérabilités sont propres à Google uniquement.

Google a déployé un correctif après plus de 4 mois

La chercheuse a déclaré avoir informé Google du bug en avril, mais pour des raisons que l'on ignore, la firme n'a déployé un correctif que quelques heures après la publication du rapport le 19 août. Il s'agit pourtant d’une faille majeure qui aurait pu être exploitée par des attaquants ou des spammeurs pour conduire des campagnes de fraude aux conséquences préjudiciables pour les victimes. Les mesures d'atténuation de Google ont été déployées côté serveur, ce qui signifie que les clients Gmail et G Suite n'ont rien à faire pour s'en prémunir.