Google : 3 failles en 16 jours

Les failles de sécurité sont souvent critiques. Elle le sont encore plus quand le site concerné, Google, contient un grand nombre d'informations sur votre vie privée...

Il y a quelques jours, nous vous révélions la présence d'une faille de sécurité pour Gmail. Découverte par l'auteur du blog Googlified.com, Haochi Chen, celle-ci permettait à une personne malintentionnée de récupérer la liste de toutes les adresses e-mail de vos contacts Gmail. Et ce avec quelques simples lignes de codes, preuve à l'appui. Le problème a depuis été corrigé, du moins officiellement.

Quelques jours plus tard, Tony Ruscoe a découvert une autre faille. Celle-ci visait une nouvelle fonctionnalité de Blogger, qui permet d'afficher le contenu de son blog example.blogspot.com sur www.example.com sans que l'internaute ne sache où est hébergé le blog. Tony a remarqué que l'on pouvait entrer n'importe quel nom de domaine, y compris ceux de Google. De ce fait, on pouvait récupérer le cookie (correspondant à Google.com) de l'internaute, et ainsi avoir accès à son compte ! Du moins, pas tout le compte, juste une partie, mais c'est déjà trop. Cela fait froid dans le dos. L'équipe technique chargée de la sécurité a réglé le problème au plus vite.

Les Googlers pensaient souffler un peu quand Haochi Chen, encore lui, a découvert une faille dans Google Base. Bien plus simple d'utilisation que la précédente. Cette faille XSS était connue depuis un an, et corrigée, mais le récent changement de design sur Google Base a fait réapparaître le trou de sécurité. Averti avant que Google ne colmate la faille, j'ai pu m'amuser avec celle-ci, notamment en subtilisant les cookies de mon confrère Luka. J'ai ainsi pu accéder à sa page d'accueil personnalisée Google IG, voir les sujets de ses mails et son agenda grâce à celle-ci, consulter ses messages de Google Reader, consulter son historique des recherches ou encore utiliser son Google Notebook. Pas de panique, il est au courant ;-) Il n'empêche, cela fait quand même peur. Le seul moyen pour lutter contre ces éventuels actes de piratage est de surfer déconnecté de son compte Google.

Si vous aussi vous découvrez une importante faille sur l'un des domaines de Google : premièrement, contactez-nous :-D Deuxièmement, écrivez à security@google.com.

Visiblement, les problèmes de sécurité importent peu les actionnaires de Google, puisque pendant ce temps le cours de GOOG battait un nouveau record : 513 dollars l'action.

Source de l'image : Flickr.

Cela fait froid dans le dos....surtout avec Google.
Et maintenant que l'on utilise de plus en plus d'applications Internet, la sécurité des données devient une priorité...

Ecrit par

Fabrice

Google est une firme très importante qui domine le monde de la recherche en ligne et qui se diversifie (Gmail, Google Checkout) : la sécurité doit donc être conséquente car il n'y a pas droit à l'erreur.

Par précaution, j'ai préféré ne pas adopter Google CheckOut et de rester sur Paypal et suis repassé sur Windows Live Mail :s Je pense que si ça continue, les gens vont se mettre à revenir à la technique première: Google, c'est pour la recherche ;)

Ecrit par

Lifetec

>Visiblement, les problèmes de sécurité importent peu les actionnaires de Google, puisque pendant ce temps le cours de GOOG battait un nouveau record : 513 dollars l'action.

Euh ils ont peur, elle est passée sous la barre de 500$...

Ecrit par

Cyril

Quitter Google pour Microsoft c'est fuir la peste pour mieux attraper le Choléra. Microsoft a aussi de nombreuses failles de sécurité et elles ne sont pas souvent corrigées en 3/4 jours après leur découverte. Il arrive souvent que les rustines pour IE/Windows ne soient dispo que le mois suivant lors du fameux patch day.

Ecrit par

Luka

Tout savoir sur G o o g l e... ou presque !

Google : 3 failles en 16 jours