Google corrige une faille permettant d'accéder à toutes les adresses Gmail

La fonctionnalité permettant de récupérer les adresses Gmail en modifiant l'adresse webLa fonctionnalité permettant de récupérer les adresses Gmail en modifiant l'adresse webMardi dernier, Oren Hafif, consultant israélien spécialisé dans la sécurité, a révélé une faille de Gmail permettant potentiellement d’avoir accès à l’intégralité des adresses mails enregistrées sur le service de Google.

C’est à l’aide d’une simple fonctionnalité mise en place par Google en 2010 qu’Oren Hafif a eu accès à 37 000 adresses Gmail en près de deux heures. Une bénédiction pour les services de spam, les adeptes du phishing ou les hackers. Le consultant en sécurité a en effet utilisé une fonctionnalité existant sur Gmail depuis 2010 qui permet, à l’origine, de donner l’accès à son compte Gmail à d’autres personnes. Lorsque vous refusez cet accès qui vous a été confié, Gmail vous envoie alors sur une page web confirmant le refus et indiquant « vous avez refusé l’accès pour voir et envoyer des messages au nom de xxxx@gmail.com ». La page web donne donc l’adresse Gmail en question. Or, comme l’a remarqué Oren Hafif, il suffisait de modifier un caractère dans l’URL de cette page web pour avoir une page équivalente, mais avec une autre adresse Gmail. Dès lors, à l’aide d’un simple logiciel et de quelques lignes de code, il était possible d’automatiser cette collecte d’adresses emails, potentiellement jusqu’à obtenir la totalité des adresses emails enregistrées sur Gmail.

Une fois cette faille de sécurité constatée, le consultant a contacté Google qui l’a corrigée en un mois et lui a reversé 500 dollars au titre de l’aide à l’amélioration de la sécurité des services Google. Difficile cependant de savoir si cette faille a déjà été utilisée à des fins malhonnêtes par le passé. Étant donné que la fonctionnalité utilisée pour accéder aux adresses existe depuis 2010, il est en effet possible que certains hackers ou spammeurs aient stocké des millions d’adresses depuis quatre ans. 

Démonstration de la faille par Oren Hafif

Posez une question dans la catégorie News du forum
Cette page n'accepte plus de commentaires
1 commentaire
    Votre commentaire
  • THSeo
    3 500 000 résultats pour la requête suivante :
    site:google.com inurl:gmail.com

    Ca en fait des adresses mail... :)
    0