Une faille permet de pirater facilement votre mot de passe Google

Un utilisateur de Reddit vient de poster un article racontant comment son fils a pu réinitialiser le mot de passe de son téléphone pour acheter une application sur le Play Store. Et non, le gamin n’est pas un Mozart du hacking, la reset a été très simple. Il n’a même pas eu à entrer une seule information du compte pour pouvoir changer le mot de passe. Voici l’article :

Allez on est sympa, voici la trad’. Mais franchement les mecs, si vous pouvez pas comprendre ça, faut vraiment vous mettre à l’anglais.

Je viens de découvrir ce qui semble etre une brèche énorme. S’il vous plait, que quelqu’un me dise si ce qui suit est logique?
Mon fils était en train de jouer sur mon téléphone (un Galaxy S3). Il a essayé de faire des achats in-app sur le jeu Subway Surfer mais ne connaissait pas le mot de passe. Il a donc suivi les étapes qui suivent pour réinitialiser mon mot de passe depuis mon téléphone sans avoir à rentrer la moindre information relative au compte :
En partant de l’écran après avoir cliqué sur « acheter »

1.  Appuyez sur le point d’interrogation à côté du champ mot de passe quand on vous demande de confirmer le mot de passe pour acheter.
2. Cliquez sur « mot de passe oublié »
3. Cliquez sur « je ne sais pas »
4. Laissez la case cochée sur « confirmer la reinitialisation du mot de passe sur mon téléphone Samsung Android SCH-I535 »
5. Cliquez sur « oui »
6. Cliquez sur « autoriser la réinitialisation du mot de passe »
7. Entrez et confirmer le nouveau mot de passe.

Et cela a permis à quelqu’un n'ayant aucune information sur mon compte Google, et ayant seulement accès à mon telephone, de changer le mot de passe de tout mon compte Google .

karcirate

Et le pire, c’est que ça n’est même pas une faille récente. Ça a toujours été possible. Voilà ce qui pourrait faire plaisir à Apple qui avait déjà dénoncé le Play Store aux autorités de la concurrence. Soulignons quand même que le problème ne concerne que les moins prudents d'entre nous. Le truc, c’est que notre victime ici n’a pas activé la vérification en deux étapes.

Donc si c’est également votre cas, vous savez quoi faire. Une chose à noter ; cette option permettra à Google de vous envoyer un code de vérification (démarche classique, on est bien d’accord). Sauf que l'astuce, c’est qu’il ne faut pas lui dire de nous l’envoyer par SMS, parce qu'évidemment, celui qui veut changer votre mot de passe a votre téléphone dans les mains !

Il faut donc choisir le mail. Et pour la même raison que précédemment, il ne faut pas choisir une adresse étant stockée sur le téléphone, logique non ? Du coup, nous vous conseillons d’utiliser votre adresse [email protected]. Vous savez, c'est celle qui vous sert à vous inscrire sur des sites quand vous craignez le spam.

Via