Les gadgets, le problème de sécurité de demain
Le PDG de la société secTheory a eu ainsi des mots très durs envers Google, déclarant selon des propos relayés par The Register : " Google est et sera, et a toujours été vulnérable. (...) Enfin de compte, tout vient du fait qu'ils veulent juste vous suivre à la trace ". Pour Hansen, autrement connu sous le pseudonyme de RSnake, un attaquant peut forcer l'installation d'un gadget, puis lire l'historique de navigation de sa victime via ce gadget malveillant, attaquer d'autres gadgets ou obtenir des identifiants et mots de passe. Des attaques d'autant facilitées que les utilisateurs font presque aveuglément confiance au domaine Google, et de pointer également du doigt le service messagerie en ligne Gmail avec des utilisateurs qui ont tendance à rester constamment connectés.
Robert Hasen a ainsi fait la démonstration où grâce à un gadget malveillant, il a pu pénétrer dans le navigateur Web d'un utilisateur et lire ses recherches en temps réel. Ce qui chagrine Hasen c'est qu'aucun mécanisme de modération ne permet de s'assurer de la légitimité d'un gadget. Google a été prévenu des vulnérabilités potentielles inhérentes aux gadgets, et ce depuis des années à indiqué Hansen, mais aucune mesure corrective n'aurait été mise en oeuvre.
De son côté, la firme de Mountain View a tenu à préciser que les gadgets sont régulièrement analysés, et que dans de rares cas du code malveillant est effectivement trouvé. Le cas échéant, les gadgets sont mis en quarantaine. Du vent pour Rsnake selon qui des gadgets en guise de preuves de concept sont hébergés depuis des mois par Google et n'ont jamais été supprimés.
Outre Google, les sites de réseaux sociaux qui encouragent également le développement d'applications tierces vont être confrontés aux mêmes problèmes.
