Oops ! Google a probablement laissé filer votre numéro de téléphone portable à des pirates

Un chercheur en sécurité révèle qu'un composant mal sécurisé des systèmes de Google permettait de deviner le numéro de téléphone portable de tous les comptes. Le hacker éthique a toutefois signalé en amont la brèche, dans le cadre du programme bug bounty de la firme.

La faille était plutôt facile à exploiter selon l'auteur de la découverte, un certain “Brutecat”. En effet, la page de récupération des comptes Google – pour le coup assez verrouillée – coexistait avec une version sans javascript assez facile à exploiter. Lorsque vous consultez la page accounts.google.com/signin/usernamerecovery, vous vous retrouvez en effet face à un formulaire qui vous demande une adresse mail.

Puis vous demande de confirmer une info associée, qui est généralement le numéro de téléphone mobile. Seuls quelques chiffres de ce dernier sont montrés dans le meilleur des cas, pour aider l'utilisateur à ne pas entrer un autre numéro que celui enregistré. Et dans la version à laquelle on a généralement accès, il y a toujours un captcha faisant office de barrière contre les tests programmatiques de toutes les combinaisons possibles.

Google était ici victime de la sédimentation de variantes plus ou moins sécurisées de la même interface

Sauf que avant la découverte de Bruteforce, ce dernier était aussi accessible dans une version sans javascript permettant de contourner le captcha. Et de tester toutes les combinaisons possibles à très grande vitesse. De quoi laisser fuiter une donnée personnelle assez sensible. Surtout dans le cas où l'opération serait automatisée pour tester un grand nombre d'adresses email.

Selon le chercheur, il ne fallait en effet que quelques secondes pour deviner un numéro basé à Singapour. Pour des numéros à 10 chiffres comme les numéros américains, français et plus largement européens, il fallait compter une vingtaine de minutes à peine. Une durée finalement pas si dissuasive pour un pirate motivé.

Connaître le numéro de récupération ouvre la voie à un SIM-swap, puis au reset des mots de passe de tous les services attachés. Autrement dit, quelques lignes de code pouvaient faire sauter la double authentification la mieux configurée. Du côté de Mountain View, on veut croire que « peu d’utilisateurs » étaient au final réellement exposés au problème.  Google a tout de même tiré la prise de ce formulaire le 6 juin 2025.

Il faut dire qu'à l'heure du https obligatoire et de standards du web à la sécurité renforcée, on pouvait se demander ce qu'il faisait encore là. Signalée le 14 avril 2025, la faille a permis à Brutecat de remporter un nouveau trophée de 5 000 $ qu'il peut fièrement ajouter à son tableau de chasse déjà fourni cette année : 10 000 $ en janvier suite au signalement d'un bug sur Youtube, avant un autres signalement au mois de mars lui faisant remporter 20 000 $.

Entre les lignes, on comprend surtout qu’un formulaire « legacy » oublié peut suffire à faire vaciller un empire cloud, malgré reCAPTCHA, BotGuard et autres murs de briques virtuels.