Sécurité : les gadgets de Google sur la sellette

Le par  |  0 commentaire(s)
iGoogle

A la convention hacker Defcon, Google en prend pour son grade avec des gadgets assimilés à des portes d'entrée pour attaques informatiques de pirates.

iGoogleLes gadgets de Google font partie de ces représentants du Web qualifié de 2.0 axé sur le partage de l'information. Avec ces gadgets, les utilisateurs peuvent aller plus loin dans la personnalisation de leur page iGoogle (voire de leur site Web) ouvrant par exemple la voie au partage de photos. Mais ces applications qui peuvent être développées par des tiers ouvrent également la voie à des attaques informatiques en faisant des vecteurs de premier choix. C'est du moins ce qu'ont avancé deux chercheurs en sécurité informatique dont Robert Hansen, à l'occasion de Defcon, la convention hacker qui s'est déroulée à Las Vegas.


Les gadgets, le problème de sécurité de demain
Le PDG de la société secTheory a eu ainsi des mots très durs envers Google, déclarant selon des propos relayés par The Register : " Google est et sera, et a toujours été vulnérable. (...) Enfin de compte, tout vient du fait qu'ils veulent juste vous suivre à la trace ".  Pour Hansen, autrement connu sous le pseudonyme de RSnake, un attaquant peut forcer l'installation d'un gadget, puis lire l'historique de navigation de sa victime via ce gadget malveillant, attaquer d'autres gadgets ou  obtenir des identifiants et mots de passe. Des attaques d'autant facilitées que les utilisateurs font presque aveuglément confiance au domaine Google, et de pointer également du doigt le service messagerie en ligne Gmail avec des utilisateurs qui ont tendance à rester constamment connectés.

Robert Hasen a ainsi fait la démonstration où grâce à un gadget malveillant, il a pu pénétrer dans le navigateur Web d'un utilisateur et lire ses recherches en temps réel. Ce qui chagrine Hasen c'est qu'aucun mécanisme de modération ne permet de s'assurer de la légitimité d'un gadget. Google a été prévenu des vulnérabilités potentielles inhérentes aux gadgets, et ce depuis des années à indiqué Hansen, mais aucune mesure corrective n'aurait été mise en oeuvre.

De son côté, la firme de Mountain View a tenu à préciser que les gadgets sont régulièrement analysés, et que dans de rares cas du code malveillant est effectivement trouvé. Le cas échéant, les gadgets sont mis en quarantaine. Du vent pour Rsnake selon qui des gadgets  en guise de preuves de concept sont hébergés depuis des mois par Google et n'ont jamais été supprimés.

Outre Google, les sites de réseaux sociaux qui encouragent également le développement d'applications tierces vont être confrontés aux mêmes problèmes.
Complément d'information

Vos commentaires

Gagnez chaque mois un abonnement Premium avec GNT : Inscrivez-vous !
Suivre les commentaires
Poster un commentaire
Anonyme
:) ;) :D ^^ 8) :| :lol: :p :-/ :o :w00t: :roll: :( :cry: :facepalm:
:andy: :annoyed: :bandit: :alien: :ninja: :agent: :doh: :@ :sick: :kiss: :love: :sleep: :whistle: =]