Google comble une faille sur Gmail

GmailGoogle travaille actuellement à la correction d’une faille qui affecte les comptes Gmail de ses utilisateurs, et qui a été découverte par des experts en sécurité qui l’ont rendue publique.

Cette faille, dévoilée la semaine dernière lors de la conférence sur la sécurité DefCon par le chercheur Mike Perry, permet de tromper le service d’authentification du site et de s’approprier le compte de sa victime.

Un problème de cookie

Gmail n’est décidément pas dans un mois qui lui est propice. Cette fois, il s’agit du système d’identification du service qui est victime d’une faille critique de sécurité, alors que le site sort à peine de quelques soucis importants d’accessibilité sur ses serveurs (voir Gmail : panne du service). Cette faille vient du fait que l’authentification n’est chiffrée qu’à la première connexion de l’utilisateur. Ensuite, un cookie stocké dans le navigateur Web remplace cette identification pendant deux semaines, ou jusqu’à ce que l’utilisateur se déconnecte. Ainsi, ces connexions en utilisant le fameux cookie ne sont pas chiffrées, et Mike Perry a trouvé le moyen de trouver les identifiants d’un internaute à partir de la transmission de ce cookie, du navigateur vers le site.

En réaction, Google travaille sur des solutions fiables pour empêcher une fuite des mots de passe de ses utilisateurs. Ainsi, le site propose désormais une option à confirmer soi-même dans les options, qui consiste à forcer une connexion chiffrée en permanence, rendant impossible le vol d’informations. Un correctifMise à jour d’un logiciel qui prend la forme d’un fichier de petite taille facile à télécharger. Un patch concerne généralement un domaine bien délimi... plus efficace devrait être créé par Google, pour qui l’utilisation de connexions chiffrées en permanence représente une charge importante. Selon Mike Perry, Google n’est pas seul à utiliser cette méthode, et des sites comme Amazon ou Facebook pourraient représenter le même danger. Enfin, il est à noter que les entreprises qui ont souscrit à un compte payant ne sont pas affectées par une telle faille.

Posez une question dans la catégorie News du forum
Cette page n'accepte plus de commentaires
10 commentaires
    Votre commentaire
  • LeGrosWinnie
    Menfin, c'est une messagerie gratuite pas un compte bancaire... Pour des emails important t'as ton FAI normalement... Déjà plus dur à pirater comme compte email !
    1
  • Anonyme
    personnellement, j'ai plus confiance en google pour mes mails qu'en mon FAI ... et ce, quelque soit le FAI ...
    0
  • Anonyme
    C'est une faille connu depuis un bout de temp, c'est bien qu'elle soit mi o grand jour.

    Pour limiter les intrusions,

    utiliser l'option « Général » du menu « Paramètres » pour l'activer
    Connexion au navigateur:
    Toujours utiliser le protocole https

    en attendant un patch.
    1