Gmail : une faille majeure permettait aux pirates d’usurper l’identité de n’importe quel utilisateur

 

Une chercheuse en sécurité vient de dévoiler une faille majeure affectant les serveurs de Gmail depuis plusieurs mois. Elle permettait aux pirates d'envoyer des emails usurpés avec l'adresse de n'importe quel compte.

Gmail

Alors que les utilisateurs de Gmail ont eu du mal à utiliser le service pendant plusieurs heures hier, Google corrigeait dans le même temps une vulnérabilité critique qui n'avait rien à voir avec la panne mondiale. Selon la chercheuse en sécurité Allison Husain, qui a trouvé et signalé la faille à Google depuis le mois d'avril, celle-ci permettait à des pirates d'usurber un compte Gmail ou G Suite tout en contournant des protocoles de sécurité qui protègent les utilisateurs contre ce type d'attaque.

En quoi consiste cette faille de Gmail ?

Des protocoles de sécurité permettent aux opérateurs de domaine d'associer leurs noms de domaines à des adresses IP spécifiques. Cela permet aux serveurs de messagerie de réception de déceler toute tentative d'usurpation d'adresse en comparant l'IP du serveur d'expédition à une liste d'IPs autorisées. Si l'adresse IP de l'expéditeur ne figure pas dans la liste, le serveur de messagerie peut rejeter le message et empêcher les e-mails frauduleux d'atteindre les boîtes de réception des utilisateurs.

L'authentification des domaines est assurée par les normes de sécurité SPF (Sender Policy Framework) et DMARC (Domain-based Message Authentication, Reporting and Conformance). La chercheuse a publié une preuve de concept qui montre comment il est possible de contourner ces protocoles en abusant d'une faille dans les règles de validation de Gmail et G Suite pour envoyer un email usurpé depuis le back-end de Google afin que les serveurs de messagerie du récepteur l'authentifient.

« De plus, le message provenant du back-end de Google, il est probable que son score de spam soit encore plus faible, et qu'il soit donc encore moins filtré », ajoute Allison Husain qui précise que les deux vulnérabilités sont propres à Google uniquement.

Google a déployé un correctif après plus de 4 mois

La chercheuse a déclaré avoir informé Google du bug en avril, mais pour des raisons que l'on ignore, la firme n'a déployé un correctif que quelques heures après la publication du rapport le 19 août. Il s'agit pourtant d’une faille majeure qui aurait pu être exploitée par des attaquants ou des spammeurs pour conduire des campagnes de fraude aux conséquences préjudiciables pour les victimes. Les mesures d'atténuation de Google ont été déployées côté serveur, ce qui signifie que les clients Gmail et G Suite n'ont rien à faire pour s'en prémunir.

 



Abonnez-vous gratuitement à la newsletter
Chaque jour, le meilleur de Phonandroid dans votre boite mail !
Réagissez à cet article !
Demandez nos dernières applications !
google messages certification
Google Messages ne fonctionnera plus sur ces smartphones Android en avril 2021

Les smartphones Android sans certification n’auront plus accès à Google Messages d’ici avril 2021. C’est ce que révèle une ligne de code découverte dans l’APK de l’application, qui affiche un message informant les propriétaires de ces appareils que celle-ci arrêtera…

google assistant guess mode
Google Assistant propose désormais la navigation privée avec le mode Invité

Google a annoncé l’arrivée du mode Invité sur son assistant virtuel, qui fonctionne concrètement comme la navigation privée. Lorsque ce mode est activé, aucune donnée n’est collectée par la firme, et empêchera donc l’apparition de publicités ciblées. En revanche, la…

google assistant nouvel an
Google Assistant vous souhaite la bonne année en chanson

Quoi de mieux que de démarrer la nouvelle année en chanson ? Google se fera un plaisir de vous fredonner une mélodie entraînante si vous prononcez les mots “Hey Google, chante-moi la chanson du Nouvel An”. Une manière comme une…

google cloud print fermeture
Google Cloud Print ferme ce 31 décembre 2020, voici des alternatives

Google Cloud Print s’apprête à tirer sa révérence. Ce 31 décembre 2020, le service d’impression en ligne de Google fermera ses portes définitivement. Pour imprimer des documents ou des photos à distance, vous allez devoir opter pour une alternative. Voici quelques alternatives de qualité.  Comme…

photo 1548345680 f5475ea5df84
Google Maps gagne un mode de navigation inspiré d’Android Auto

Google Maps propose désormais à ses utilisateurs américains un nouveau mode « Conduite ». Il restreint drastiquement les notifications et incite le conducteur à interagir avec son téléphone en utilisant la voix. Une sorte de mode Android Auto combinée à…