Le 17 janvier 2007

Google : 3 failles en 16 jours


Google Dollar Les failles de sécurité sont souvent critiques. Elle le sont encore plus quand le site concerné, Google, contient un grand nombre d’informations sur votre vie privée…

Il y a quelques jours, nous vous révélions la présence d’une faille de sécurité pour Gmail. Découverte par l’auteur du blog Googlified.com, Haochi Chen, celle-ci permettait à une personne malintentionnée de récupérer la liste de toutes les adresses e-mail de vos contacts Gmail. Et ce avec quelques simples lignes de codes, preuve à l’appui. Le problème a depuis été corrigé, du moins officiellement.

Quelques jours plus tard, Tony Ruscoe a découvert une autre faille. Celle-ci visait une nouvelle fonctionnalité de Blogger, qui permet d’afficher le contenu de son blog example.blogspot.com sur www.example.com sans que l’internaute ne sache où est hébergé le blog. Tony a remarqué que l’on pouvait entrer n’importe quel nom de domaine, y compris ceux de Google. De ce fait, on pouvait récupérer le cookie (correspondant à Google.com) de l’internaute, et ainsi avoir accès à son compte ! Du moins, pas tout le compte, juste une partie, mais c’est déjà trop. Cela fait froid dans le dos. L’équipe technique chargée de la sécurité a réglé le problème au plus vite.

Les Googlers pensaient souffler un peu quand Haochi Chen, encore lui, a découvert une faille dans Google Base. Bien plus simple d’utilisation que la précédente. Cette faille XSS était connue depuis un an, et corrigée, mais le récent changement de design sur Google Base a fait réapparaître le trou de sécurité. Averti avant que Google ne colmate la faille, j’ai pu m’amuser avec celle-ci, notamment en subtilisant les cookies de mon confrère Luka. J’ai ainsi pu accéder à sa page d’accueil personnalisée Google IG, voir les sujets de ses mails et son agenda grâce à celle-ci, consulter ses messages de Google Reader, consulter son historique des recherches ou encore utiliser son Google Notebook. Pas de panique, il est au courant 😉 Il n’empêche, cela fait quand même peur. Le seul moyen pour lutter contre ces éventuels actes de piratage est de surfer déconnecté de son compte Google.

Si vous aussi vous découvrez une importante faille sur l’un des domaines de Google : premièrement, contactez-nous 😀 Deuxièmement, écrivez à security@google.com.

Visiblement, les problèmes de sécurité importent peu les actionnaires de Google, puisque pendant ce temps le cours de GOOG battait un nouveau record : 513 dollars l’action.

Source de l’image : Flickr.

Publié le 17 janvier 2007 à 17:28 par dans Actualité

Billet trop ancien. Les commentaires sont maintenant fermés.