Nos confrères de Zataz auraient en effet découvert un exploit de type 0day, donc sans correctif disponible pour le moment, qui permettrait d'intercepter le mot de passe d'un compte Gmail, la messagerie électronique de Google.
La faille, testée par leurs soins, permettrait via une simple injection d'un code malicieux écrit en JavaScript de récupérer le mot de passe d'un utilisateur de la webmail Gmail. Plus concrètement, ce code malicieux communiquerait la requête aux serveurs de Google qui communiqueraient ensuite au pirate le mot de passe de la victime, à son insu bien entendu.
Selon Casi, l'auteur de la découverte, cette vulnérabilité est exploitable très facilement en local ou sur un réseau local. De plus, selon lui : " A distance, l'attaque est plus complexe, mais loin d'être impossible "
Pour une attaque à distance, il faudrait en effet pouvoir exploiter le cookie de la victime (Key HTTP, Cookie Stealer, Phishing) couplé au code malveillant ce qui est plus délicat mais pas impossible.
Évitez donc de cliquer sur un hyperlien ou toute autre url pour aller consulter votre messagerie Gmail, mais tapez plutôt directement l'adresse complète directement dans votre navigateur web préféré.
