Un adolescent de 14 ans prétend avoir trouvé une faille dans la façon dont Gmail traite certains messages en provenance de Yahoo Mail.
Un jeune américain de 14 ans, qui se fait appeler Anthony sur son blog, dévoile une faille affectant la messagerie sur Internet de Google, Gmail. Le petit génie s'est aperçu du problème en tentant de s'envoyer sur Gmail une portion de code écrite en Javascript dans le corps d'un e-mail depuis son compte Yahoo Mail.
Il apparaît que c'est là le seul cas de figure où le stratagème fonctionne: d'un compte Gmail à une autre, cela ne marche pas, car dans ce cas, les filtres de Gmail fonctionnent correctement. En revanche, le fait d'inclure un code quelconque--qui pourrait donc être malicieux--dans le corps d'un courrier électronique expédié depuis Yahoo Mail vers Gmail. La fonction "Preview" de Gmail fait le reste, et le code, affiché à l'écran, est aussitôt exécuté.
Anthony avait choisi pour sa démonstration d'entrer une courte indication à la rubrique "Sujet" de l'e-mail, puis, dans le corps du message, outre un peu de texte, le code suivant :
"asdfasdf<script>alert("asdF");</script>" (sans les guillemets dans son cas)
Une capture d'écran peut être consultée ici, même si le site semble un peu pris d'assaut...
Selon Anthony, il serait possible, en utilisant cette faille, de récupérer l'intégralité du carnet d'adresses d'un compte Gmail, voire de totalement en compromettre le fonctionnement. Google a peut-être trouvé une parade, car les commentaires sur le blog d'Anthony sont un peu contradictoires quant à la matérialité des faits.
Si vous disposez à la fois d'un compte Gmail et de son équivalent chez Yahoo, faites-vous une idée par vous même...
Un jeune américain de 14 ans, qui se fait appeler Anthony sur son blog, dévoile une faille affectant la messagerie sur Internet de Google, Gmail. Le petit génie s'est aperçu du problème en tentant de s'envoyer sur Gmail une portion de code écrite en Javascript dans le corps d'un e-mail depuis son compte Yahoo Mail.
Il apparaît que c'est là le seul cas de figure où le stratagème fonctionne: d'un compte Gmail à une autre, cela ne marche pas, car dans ce cas, les filtres de Gmail fonctionnent correctement. En revanche, le fait d'inclure un code quelconque--qui pourrait donc être malicieux--dans le corps d'un courrier électronique expédié depuis Yahoo Mail vers Gmail. La fonction "Preview" de Gmail fait le reste, et le code, affiché à l'écran, est aussitôt exécuté.
Anthony avait choisi pour sa démonstration d'entrer une courte indication à la rubrique "Sujet" de l'e-mail, puis, dans le corps du message, outre un peu de texte, le code suivant :
"asdfasdf<script>alert("asdF");</script>" (sans les guillemets dans son cas)
Une capture d'écran peut être consultée ici, même si le site semble un peu pris d'assaut...
Selon Anthony, il serait possible, en utilisant cette faille, de récupérer l'intégralité du carnet d'adresses d'un compte Gmail, voire de totalement en compromettre le fonctionnement. Google a peut-être trouvé une parade, car les commentaires sur le blog d'Anthony sont un peu contradictoires quant à la matérialité des faits.
Si vous disposez à la fois d'un compte Gmail et de son équivalent chez Yahoo, faites-vous une idée par vous même...
Source :
Inquirer
