Gmail : la faille de sécurité c'est l'utilisateur

Le par  |  3 commentaire(s)
GMail Notifier (143x59)

Pour Google, il n'y a actuellement pas de vulnérabilité Gmail si ce n'est l'utilisateur victime d'une campagne de phishing.

GMail Notifier (143x59)Ce week-end, un billet publié sur le blog Geek Condition a fait planer un doute au sujet d'une vulnérabilité affectant le webmail Gmail de Google. Un attaquant distant pourrait ainsi à l'insu d'un utilisateur connecté à son compte Gmail, créer un filtre malveillant afin d'éventuellement rediriger son trafic mail. Pour Chris Evans, ingénieur en sécurité informatique chez Google, il n'y a aucune preuve d'une telle vulnérabilité, et de pointer de doigt une attaque de type phishing à laquelle certains utilisateurs se sont laissés prendre.

C'est sur la base de leurs témoignages que Google a mis à jour la prétendue vulnérabilité Gmail qui n'en est donc pas une. " Des attaquants envoient des mails personnalisés encourageant les détenteurs de domaines Web à visiter des sites frauduleux comme google-hosts.com qu'ils ont mis en place uniquement pour récupérer des noms d'utilisateurs et des mots de passe. Ces sites n'ont aucun lien avec Google et ceux que nous avons détectés sont désormais hors ligne. Une fois que les attaquants ont obtenu les informations d'identification de l'utilisateur, ils peuvent modifier les comptes concernés comme ils le souhaitent. Dans le cas présent, l'attaquant configure des filtres servant à rediriger les messages ".

Evans en profite également pour signaler qu'en décembre 2007, des vols de domaines ont été imputés à une vulnérabilité de type Cross-site request forgery (CSRF) dans Gmail. Ce genre de vulnérabilité consiste à utiliser un site tiers spécialement conçu, pour mener une action sur un site de confiance où l'utilisateur s'est connecté avec ses droits. Selon Evans, Gmail a effectivement été affecté par une telle vulnérabilité mais en septembre 2007, et cette dernière a été comblée en moins de 24 heures.

Evans cherche donc à réhabiliter Gmail, à ses yeux trop souvent victime de rumeurs dans le domaine de la sécurité informatique. Evidemment conscient de l'exigence dont doit faire preuve Google à ce niveau, Gmail étant parfois utilisé dans un cadre professionnel, il souligne la responsabilité des utilisateurs et leur recommande de ne saisir leurs identifiants Gmail que pour des adresses Web commençant par https://www.google.com/accounts, de ne jamais cliquer sur des avertissements s'affichant à l'écran à propos des certificats.

Rappelons par ailleurs que depuis cet été, dans les " Paramètres ", onglet " Général ", de Gmail, il est possible de forcer la connexion au navigateur en n'utilisant que le protocole https.
Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #365201
"Parce que vous êtes trop con."

C'est la réponse qui me venait spontanément à l'esprit quand un malade venait à la pharmacie sans ordonnance pour tenter d'obtenir un médicament nécessitant une prescription médicale et qu'il me demandait pourquoi je répondais par la négative.

Mais même malgré ma jeunesse empreinte de naïveté à l'époque, je savais que, sur un plan marketing, une telle réponse aurait été peu efficiente, voire délétère.

M. Chris Evans, lui, s'asseoit sur cette dernière subtilité et fait le pari de la sincérité : pourquoi les comptes Gmail sont-ils à l'origine de nombreux actes de phishing ?

"Parce que vous êtes trop con."
Le #365251
Ce doit être un linuxien pour faire preuve d'autant de subtilité...
Le #365441
Oldjohn, tu t'es fais piquer ta femme par un barbu intégriste utilisateur de Linux ?
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]