Gmail et autres services Google sont vulnérables ?

Le par  |  2 commentaire(s)
Google logo

Selon deux chercheurs en sécurité informatique, les applications en ligne de Google sont vulnérables à des attaques.

Google logoLes applications en ligne de Google sont vulnérables à des attaques, voilà ce qu'avancent deux chercheurs en sécurité informatique comme s'en fait l'écho InformationWeek. Adrian Pastor dit " pagvac " de GNUCitizen.org, avance qu'une page tierce peut être injectée dans le domaine google.com via un code exploit dont il propose une preuve de concept. Pour preuve donc, cette page où il peut afficher une page de connexion à Gmail plus vraie que nature mais frauduleuse avec une barre d'adresse dans le navigateur faisant état de mail.google.com. En l'occurrence, après validation, les identifiants sont transmis à www.gnucitizen.org.

La PoC de pagvac a fait se rappeler à Aviv Raff, la découverte d'une faille dans google.com datant d'il y a 6 mois via laquelle des applications comme maps (maps.google.com), images (images.google.com), actualités (news.google.com) ou encore Gmail sont accessibles depuis plusieurs sous-domaines google.com. Ainsi, Google Maps peut par exemple être utilisé pour détourner des comptes Google Apps, Mail. Le risque encouru en combinaison avec une autre faille est le vol d'identifiants comme l'a démontré Pastor.

Raff a indiqué à InformationWeek avoir alerté Google de ce problème au mois d'avril, mais apparemment il y a toujours anguille sous roche. Un porte-parole de la firme de Mountain View a déclaré : " Nous sommes conscients de ce comportement, lorsque des services sont hébergés à travers de multiples domaines, et nous prenons des mesures nécessaires pour le restreindre là où nous estimons que cela peut avoir des conséquences en termes de sécurité ".
Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #339451
C'est particulièrement grave ça.
Le #339611
Il faut forcer gmail à utiliser uniquement du https dans les options, et de vérifier sa barre d'adresse httpS (en tapant soi-meme ou bookmark).
En plus ici on a une barre de traduction en haut bien louche.
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]