#FF00AA

Le nombre d’articles qui racontent n’importe quoi au sujet de cette news est en train de tuer mes neurones un par un. Donc, trois ou quatre personnes se sont vu voler leur nom de domaine, et demander une rançon (ça a l’air d’être en vogue, je devrais sans doute éviter de tenter le diable), parce que le voleur avait réussi à installer un filtre sur leur compte Gmail qui forwardait et supprimait les e-mails de leur registrar — oui, c’est facile de voler un nom de domaine, il suffit d’intercepter les rappels de mot de passe et les demandes de confirmation, et hop (enfin, ça dépend peut-être de la sécurité du registrar, mais ils n’y peuvent pas grand chose… les rappels de mot de passe sont une invention démoniaque, mais les utilisateurs y sont habitués).

L’article le plus linké est un blogueur qui imagine comment ça a dû se passer, et je n’arrive pas à me faire à l’idée que tant de journalistes le citent sans se poser de question. Passons sur le fait que son procédé nécessite de savoir l’identificateur numérique d’un compte Google (je veux bien imaginer qu’il y ait un moyen de le connaître, mais ça implique que le hack cible une personne en particulier, ce qui n’est pas très efficace) ; l’auteur a aussi besoin de l’identificateur de session pour former son URL :

Obtaining the at variable on the other hand can be done by tricking a user into visiting a page that contains malicious code that subsequently steals a cookie from the user called GMAIL AT which is the same as the at variable, just named differently. Once the cookie is stolen the malicious code creates a hidden iframe with a url containing the variables that authorize Gmail to create a filter for your account.

C’est tout simple. Sauf que non. Il y a juste une vague petite sécurité, dans les browsers modernes, qui empêche les pages web d’accéder aux cookies d’un autre site. Je suis sûr qu’il y a des Explorer 6 qui traînent sur le réseau et qui ont des failles permettant de voler les cookies, mais ils doivent être assez rares, et les utilisateurs concernés méritent de se faire voler leur nom de domaine. (Et puis ils utilisent Hotmail, pas Gmail.)

Mais on ne crée pas simplement “une page qui vole les cookies de l’utilisateur” : quand ce genre de chose arrive, ça s’appelle une faille du browser, pas un bug de Gmail. Si on veut voler les cookies de quelqu’un, ce qu’on fait, c’est intercepter ses communications wi-fi. (Ce qui n’est pas non plus la méthode employée dans le cas présent, qui sera détaillé plus loin.)

Que ce soit clair : je me fiche qu’un blogueur ne connaisse pas le cross-site scripting et écrive comme s’il était un expert de la sécurité sur le web ; ce qui me fait faire des crises de tachycardie, c’est que tous les blogs et sites de news technologiques le citent sans se poser la moindre question.

Ce qui nous amène au post original, du pauvre hère qui s’est fait voler son nom de domaine. Je veux bien accepter que le voleur n’ait pas juste récupéré son mot de passe, même si les meilleurs hacks sont souvent ceux qui reposent sur le social engineering ; mais je trouve intéressante cet extrait de son post, dans lequel il cite un article de 2007 évoquant une faille de Gmail relative aux filtres :

This filter will automatically transfer all emails matching the rule. Keep in mind that future emails will be forwarded as well. The attack will remain present for as long as the victim has the filter within their filter list, even if the initial vulnerability, which was the cause of the injection, is fixed by Google.

Now, the interesting part is that update on the above GNU Citizen link states that vulnerability was fixed before 28 September 2007. But in David’s case, the incident took place in December, 2-3 months later. So, was the exploit really fixed back then? Or was it a new exploit in David’s case? And most importantly is there a similar security flaw in Gmail NOW?

Je ne vais pas insulter votre intelligence, ni votre niveau de compréhension de l’anglais écrit, et cette histoire m’ennuie déjà assez, donc je vais vous laisser trouver par vous-mêmes la faille logique qui se trouve entre ces deux paragraphs, sans pointer directement le doigt dessus.

Je citerai juste comme circonstance aggravante le fait que le premier conseil de l’auteur à ses pairs possesseurs de noms de domaine et utilisateurs de Gmail inclut la phrase : “Also make sure to disable IMAP if you don’t use it.” Parce que, oui, ça va clairement vous protéger des attaques à base de Javascript. (Et, bien sûr, la moitié des posts à ce sujet copient-collent ce conseil sans ciller. Bon sang.)

Et je ne dis pas qu’il est impossible qu’une faille de cross-site scripting soit réapparue sur Gmail ; c’est juste que je ne vois jusqu’ici pas de raison particulière de penser qu’il y en ait une, et j’aurais tendance à penser que les mesures anti-XSS que Google a implémentées ne devraient pas avoir soudain disparu — même si la régression, ça arrive à tout le monde. Ce à quoi je réagis, ce n’est pas l’accusation contre Google, mais la façon dont elle est partout reprise comme un fait accompli. Je sais, je devrais avoir l’habitude, mais je ne peux pas me retenir.

La morale de l’histoire, cependant, outre “ces foutus journalistes technologiques sont incapables de vérifier le moindre fait qu’ils relatent,” est que vous ne devriez pas utiliser des comptes mail accessibles depuis le web pour quoi que ce soit d’important (noms de domaine, compte bancaire ou Paypal, etc.) — enfin, vous ne devriez pas du tout utiliser d’e-mails non cryptés, mais on n’a pas vraiment le choix. Il y aura toujours des failles de sécurité, et rajouter une interface web ne fait qu’accroître les risques.

Et vous devriez vous déconnecter de Gmail à chaque fois que vous avez fini de lire votre courrier. Grave. Faites ce que je dis, pas ce que je fais.