Gmail touché par une très inquiétante faille 0-day

Le par  |  5 commentaire(s) Source : Par la rédaction de Vulnerabilite.com
GMail

S'il est encore en phase de bêta test, le webmail gratuit de Google n'en est pas moins populaire et plane sur ses nombreux utilisateurs à travers le monde, le risque de vol de données eu égard à une vulnérabilité récemment découverte.

GmailPetko D. Petkov, analyste en sécurité pour le compte d'une société spécialisée dans les tests d'intrusion de son état mais également membre du groupe GnuCitizen, fait décidément beaucoup parler de lui en ce mois de septembre. Après avoir rapporté l'existence d'une faille dans QuickTime d' Apple, Windows Media Player de Microsoft et le format PDF d' Adobe, il s'en prend désormais à Google avec la découverte d'une vulnérabilité intéressant Gmail.

Contrairement au cas QuickTime, Petkov se montre toutefois plus discret avec Gmail, ne divulguant que peu d'informations sur sa trouvaille mais il a cependant pris soin de faire " certifier " sa preuve de concept (non divulguée publiquement) par un journaliste de ZDNet qui a confirmé ses dires. La publication de quelques bribes d'explications et diverses captures d'écran sur gnucitizen.org en disent cependant long sur les risques potentiels encourus par les utilisateurs.

La vulnérabilité expose les utilisateurs de Gmail à une attaque dite de type Cross-site request forgery ( CSRF ) consistant typiquement à utiliser un site tiers spécialement conçu, pour mener une action sur un site de confiance où l'internaute s'est connecté avec ses droits d'utilisateur. En l'occurrence, avec sa POC, Petkov démontre comment un utilisateur connecté à Gmail peut se faire subtiliser ses mails à son insu.


Faille critique pour Gmail
Sa session Gmail ouverte, la victime se rend en parallèle sur un site Web malicieux qui via une requête POST en multipart/form-data sur l'une des interfaces de Gmail ( API ), insère un filtre dans son compte utilisateur, avec pour mission de transférer les mails reçus vers une nouvelle adresse où le pirate n'aura plus qu'à se servir. Une porte dérobée en somme qui peut facilement être supprimée par l'utilisateur à condition qu'il vérifie, voire connaisse l'existence et le maniement des filtres. Plus inquiétant, Petkov a certes prévenu Google de l'existence de ladite vulnérabilité mais finalement, son comblement n'aura pas pour effet de supprimer cette backdoor, si d'aventure un utilisateur a déjà été pris au piège (aucun rapport d'exploitation pour le moment). Evidemment, en attendant la réaction de Google, un palliatif peu pratique semble tout trouvé avec la déconnexion de Gmail dès lors que la visite d'un autre site est nécessaire.

Jugeant cette vulnérabilité très dangereuse, Petkov en appelle au sérieux de ses congénères en leurs demandant de pas la révéler s'ils venaient eux aussi à la découvrir avant que Google ne l'ait corrigée. La firme de Mountain View risque toutefois d'avoir beaucoup de pain sur la planche car, loi des séries ou pas, plusieurs autres de ses services en ligne sont également dans la tourmente sécuritaire avec la récente publication d'un exploit touchant Picasa (logiciel permettant de partager ses photos en ligne), la découverte d'une faille affectant Google Search Appliance (recherche de documents en entreprise) ou encore la fonctionnalité de vote de Blogspot (faille corrigée).

Google qui tente actuellement de séduire les entreprises avec sa solution Google Apps n'avait vraiment pas besoin de cette publicité, d'autant que son concurrent sur le segment, Microsoft, ne manque pas une occasion de le discréditer en rappelant à quel point ses services encore en version bêta sont perfectibles en termes de sécurité. Par ailleurs, cela montre à quel point la maîtrise de la technologie AJAX notamment, va donner du fil à retordre aux développeurs Web à ce niveau.

MàJ : La faille découverte dans Gmail par Petkov a été corrigée par Google. Ce dernier en a reçu confirmation le 28 septembre.
Complément d'information
  • Gmail : Google renforce la sécurité
    De nouvelles notifications en rapport avec des risques de sécurité pour Gmail dont Google renforce la protection.
  • Gmail : Google chamboule tout pour Contacts
    Contacts de Google fait peau neuve. Une nouvelle apparence et de nouvelles fonctionnalités pour ce service que l'on retrouve notamment dans Gmail. Le nouveau Contacts est pour le moment proposé en préversion.

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Trier par : date / pertinence
Le #185894
il aurait fallu lire l'article de gnucitizen.org jusqu'au bout, Google a corrigé cette faille :

"Update 28 September 2007 at 07:46 GMT (UTC+0)

I promised to release the POC as soon as Google fix the vulnerability, well they did. So, here is how it works..."
Le #185913
Oui mais cet article paru sur vulnerabilité.com a été rédigé et publié avant la correction de la faille par Google et la mise en ligne de la POC. Ta remarque n'en demeure pas moins vraie. Cependant, cela n'enlève rien au caractère instructif de l'article sans compter que comme précisé, même si la faille a été comblée, la backdoor peut déjà avoir été installée au préalable ( petit coup d'oeil du côté des filtres au cas où ) et la correction apportée par Google n'y changera rien.



Ceci dit, merci LeDTeR, une petite MàJ sera ajoutée en fin d'actualité.
Le #185921
Aucun risque si on rapatrie les mails sur un client via POP je suppose ?
Le #186032
une new sur une faille déjà corriger.... où va GNT? si on devait faire une new pour chaque faille corriger de windows on aurait pas fini....
Le #186037
zippy >Ben quand la news a été posté, Gmail avait déjà été corrigé il me semble donc par rapport à la date, la mise à jour est assez importante.

Bidule200 >Non
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]