Les premières 24 heures de 2007 ne sont pas encore écoulées qu'une faille à risque a été découverte sur Google...Une faille critique a été découverte sur les serveurs de Google, qui pourrait être utilisée par les spammers pour inonder les adresses mails de vos contacts. Cette faille a été découverte cette nuit par Haochi Chen, rédacteur du site Googlified.com (un peu le Zorgloob outre-Atlantique ;-) ).
Tout commence en fait samedi, quand Ionut Alex Chitu du blog Google Operating System découvre dans les lignes de codes de Google Vidéo une fonction permettant d'afficher la liste de ses contacts. Essayez par vous-même avec cette vidéo (de "Jacky") et, dans la barre d'adresse, effacez l'adresse internet de la vidéo et entrez la ligne de code suivante, puis validez :
javascript:handlePickerClick(0);void(0);Vous devriez voir apparaitre la liste de vos contacts, dans le but de remplir plus facilement la partie "Envoyer par email" (le bouton bleu).
Bref, c'est à partir de cette fonction qu'Haochi Chen a découvert qu'un pirate pouvait, avec quelques lignes de code seulement, récupérer l'ensemble des adresses e-mail contenues dans votre liste de contacts Gmail.
Voici un petit exemple de ce que l'on peut faire avec quelques lignes de codes seulement :
Le fichier coupable de cette faille est présent sur de nombreux sous-domaines de Google (video, mail, docs, ...). La faille a d'ores et déjà été corrigée par des Googlers (qui travaillent le 1er janvier), mais pas sur tous les sous-domaines !
Impossible de vous prémunir de cette faille si vous avez un compte Gmail, à moins de désactiver Javascript et/ou vous déconnecter de votre compte Google...
D'ici là, gardez l'oeil ouvert.
Oui ça marche sur tous les navigateurs
Ce qui reste drôle puisque FireFox est toujours présenté comme étant le plus sécurisé...
Bonne année ;)
Écrit par