Le blog TechCrunch a rapporté ce week-end l'existence d'une vulnérabilité mise au jour par un certain Vahe G et permettant d'envoyer du spam à des utilisateurs Gmail depuis les serveurs Google. Les en-têtes de l'e-mail n'ont ainsi pas été falsifiés.
Lors de la consultation du blog guntada.blogspot.com, que Google a désactivé, un utilisateur connecté à Gmail pouvait recevoir de manière quasi instantanée un e-mail des serveurs de Google. Ledit blog a servi de démonstration avec aucune intention malveillante, ce qui aurait par contre pu être le cas pour par exemple diffuser un e-mail de phishing auquel un utilisateur aurait été plus sensible avec l'alibi Google.com.
Google a rapidement corrigé le problème, indiquant qu'il était présent dans l'API Google Apps Script. Plusieurs sociétés de sécurité ont avancé qu'il s'agissait d'un trou de sécurité sérieux. Google encourage pour sa part à une divulgation responsable des problèmes de sécurité via security@google.com.
Publié le
par Jérôme G.
Journaliste GNT spécialisé en nouvelles technologies
Sur le même sujet
Cette page peut contenir des liens affiliés. Si vous achetez un produit depuis ces liens, le site marchand nous reversera une commission sans que cela n'impacte en rien le montant de votre achat. En savoir plus.