Google a récemment corrigé une faille de sécurité dans son système de récupération de compte, découverte par le chercheur en cybersécurité Brutecat. Cette vulnérabilité permettait d’obtenir le numéro de téléphone associé à n’importe quel compte Google sans alerter l’utilisateur.
Une attaque automatisée pour dévoiler les numéros
En exploitant cette faille, Brutecat a pu récupérer les numéros de téléphone associés aux comptes en contournant une protection anti-bot conçue pour limiter les requêtes de réinitialisation de mot de passe. En désactivant cette limite, il a pu tester toutes les combinaisons possibles de numéros de téléphone en un temps record, estimant pouvoir identifier un numéro de récupération en 20 minutes ou moins, selon la longueur du numéro.
Des risques accrus pour la sécurité des utilisateurs
L’exposition d’un numéro de téléphone de récupération peut avoir des conséquences graves, comme une attaque de type SIM swap où le hacker peut prendre le contrôle du numéro de téléphone via un duplicata de la carte SIM. Une fois ce numéro sous son contrôle, il deviendrait possible de réinitialiser les mots de passe des comptes associés en interceptant les codes de réinitialisation envoyés par SMS.
Google a réagi après le signalement de Brutecat. Une porte-parole de l’entreprise a confirmé que la faille avait été corrigée, ajoutant qu’aucune exploitation confirmée de cette faille n’avait été détectée à ce jour. Pour sa découverte, Brutecat a reçu une récompense de 5 000 dollars dans le cadre du programme de bug bounty de Google, qui encourage les experts à détecter et signaler des failles de sécurité.
Cette situation souligne l'importance de la collaboration entre les chercheurs en sécurité et les entreprises pour identifier et corriger rapidement les vulnérabilités.
