Le 27 septembre 2007

Failles de sécurité en série pour Google


espion Ces derniers jours, des hackers découvrent un nombre croissant des failles sur les services de Google.

Les failles de sécurité sur les services de Google se font de plus en plus nombreuses ces derniers jours. Les hackers et autres experts en sécurité informatique semblent avoir trouvé en Google une cible particulièrement intéressante, notamment grâce à ses nombreux services en version « béta ». La semaine dernière, nous vous révélions une brèche dans le tout nouveau service Presentations de Google Docs, colmatée 15 heures plus tard, et une autre de moindre importance avec Shared Stuff, celle-ci n’étant que partiellement corrigée à l’heure actuelle.

Nos confrères de ZaTaZ, site spécialisé dans la sécurité informatique depuis plus de 10 ans, dévoilent les autres découvertes, potentiellement plus graves, faites ces derniers temps. Chaque jour apporte son lot de failles, comme c’était le cas au début de cette année. Passons en revue les preuves qu’il n’est pas bon de trop faire confiance en Google pour ce qui est de la sécurité de ses données privées…
  • Une faille XSS est découverte le 20 septembre dans Google Search Appliance. Cette faille, qui permet de récupérer les cookies des internautes, est applicable à plus de 201000 sites web, y compris celui de l’ONU ou du MI5, comme l’indique Haochi Chen sur Googlified. Faille partiellement corrigée.

  • Quatre jours plus tard, lors d’une conférence au Japon, des chercheurs dévoilent une vulnérabilité de Picasa. Elle concerne plus précisément les URI utilisées par ce logiciel de Google (« picasa://« ). Avec un peu de lignes de codes, un individu peut récupérer les photos stockées sur l’ordinateur de l’internaute… Pour les plus férus d’entre-vous, la faille est détaillée de A à Z ici. La faille ne serait pas encore corrigée.

  • Le même jour, Bedford.org découvrait une faille dans les sondages publiés sur Blogspot, qui permettait de pirater des comptes Gmail. Encore une fois, il s’agit d’une faille XSS, qui a été rapidement corrigée par Google.

  • Le même jour encore – ça a dû chauffer dans l’équipe chargée de la sécurité de Google ce 24 septembre – une faille, XSS elle aussi, était débusquée dans le logiciel Urchin, qui est à l’origine de Google Analytics. Vidéo à l’appui. Il semble que ce problème a été corrigé.

  • Avant-hier, un chercheur nommé Petko D. Petkov prouvait qu’il était possible de récupérer tous les mails avec des fichiers joints d’un internaute ayant cliqué sur un lien piégé. Ceci ayant pour conséquence d’installer un cheval de Troie sur le compte Gmail de la victime. ZaTaZ précise que « cette vulnérabilité serait différente de la vulnérabilité XSS de Blogspot, permettant aussi de dérober les courriers Gmail, dans le sens où la vulnérabilité serait plus au niveau de l’identification Gmail que dans un de ses modules interne« . Il s’agit ici d’une faille CSRF. Faille en cours de correction.

  • Aujourd’hui, ZaTaZ nous apprend qu’une nouvelle faille touche Google Docs. Elle utilise cette fois une fonction de Flash qui permet de récuperer, par exemple, la liste de vos contacts sur Gmail. Cette faille fonctionne encore à l’heure où ces lignes sont écrites, vous pouvez la tester ici.
Ces failles sont relativement importantes, et dans la majorité des cas, il suffit de se déconnecter de son compte Google pour surfer en toute tranquillité. Il y a fort à parier que de nouvelles failles seront dévoilées dans les prochains jours… Gardez l’oeil ouvert 😉

Publié le 27 septembre 2007 à 15:00 par dans Actualité

Billet trop ancien. Les commentaires sont maintenant fermés.