Google travaille actuellement à la correction d’une faille qui affecte les comptes Gmail de ses utilisateurs, et qui a été découverte par des experts en sécurité qui l’ont rendue publique.
Cette faille, dévoilée la semaine dernière lors de la conférence sur la sécurité DefCon par le chercheur Mike Perry, permet de tromper le service d’authentification du site et de s’approprier le compte de sa victime.
Un problème de cookie
Gmail n’est décidément pas dans un mois qui lui est propice. Cette fois, il s’agit du système d’identification du service qui est victime d’une faille critique de sécurité, alors que le site sort à peine de quelques soucis importants d’accessibilité sur ses serveurs (voir Gmail : panne du service). Cette faille vient du fait que l’authentification n’est chiffrée qu’à la première connexion de l’utilisateur. Ensuite, un cookie stocké dans le navigateur Web remplace cette identification pendant deux semaines, ou jusqu’à ce que l’utilisateur se déconnecte. Ainsi, ces connexions en utilisant le fameux cookie ne sont pas chiffrées, et Mike Perry a trouvé le moyen de trouver les identifiants d’un internaute à partir de la transmission de ce cookie, du navigateur vers le site.
En réaction, Google travaille sur des solutions fiables pour empêcher une fuite des mots de passe de ses utilisateurs. Ainsi, le site propose désormais une option à confirmer soi-même dans les options, qui consiste à forcer une connexion chiffrée en permanence, rendant impossible le vol d’informations. Un correctifMise à jour d’un logiciel qui prend la forme d’un fichier de petite taille facile à télécharger. Un patch concerne généralement un domaine bien délimi… plus efficace devrait être créé par Google, pour qui l’utilisation de connexions chiffrées en permanence représente une charge importante. Selon Mike Perry, Google n’est pas seul à utiliser cette méthode, et des sites comme Amazon ou Facebook pourraient représenter le même danger. Enfin, il est à noter que les entreprises qui ont souscrit à un compte payant ne sont pas affectées par une telle faille.
Entrées (flux RSS)