FREN

#FF00AA


26 nov. 2008

Google rassure les utilisateurs de Gmail

With help from affected users, we determined that the cause was a phishing scheme, a common method used by malicious actors to trick people into sharing their sensitive information. Attackers sent customized e-mails encouraging web domain owners to visit fraudulent websites such as “google-hosts.com” that they set up purely to harvest usernames and passwords. […]

Several news stories referenced a domain theft from December 2007 that was incorrectly linked to a Gmail CSRF vulnerability. We did have a Gmail CSRF bug reported to us in September 2007 that we fixed worldwide within 24 hours of private disclosure of the bug details. Neither this bug nor any other Gmail bug was involved in the December 2007 domain theft.

Et je ne vois aucune raison d’en douter. Comme je l’avais dit dans mes commentaires relatifs à la couverture médiatique de la supposée faille, la façon la plus simple et la plus efficace de hacker quoi que ce soit a toujours reposé sur le social engineering ; il est bien plus rentable de récolter en masse logins et mots de passe pour regarder ensuite qui possède un nom de domaine, plutôt que de créer des filtres cachés sur tous les comptes Gmail possibles et demander des rappels de mot de passe au hasard sur GoDaddy en espérant tomber sur une adresse qu’on a hackée. Ou, encore moins efficace, cibler un individu en particulier.

Les filtres cachés n’étaient pas le mécanisme essentiel de l’attaque, mais simplement un dispositif facilitant légèrement le travail du hacker, lui permettant de minimiser le temps passé connecté sur le compte de la victime, et s’assurant qu’elle ne recevrait pas le mail de confirmation du transfert de nom de domaine via POP ou IMAP, ou en ouvrant sa page Gmail pile au bon moment.

 

Au passage, Gmail favorise tout de même ce genre d’attaque par sa réticence à effacer quoi que ce soit : un hacker ayant accès à votre compte trouvera très facilement des messages dans l’archive si vous possédez un nom de domaine. Voire un message de rappel de mot de passe qu’il n’aura même pas à demander lui-même. Enfin, à supposer bien entendu que l’accès à votre nom de domaine soit protégé par un autre mot de passe que votre compte Google.

Et Google contribue aussi au phishing de comptes Gmail en utilisant les mêmes logins et mots de passe sur tous leurs sites. Passons sur les outils sociaux à la noix qui vous demandent votre mot de passe Google ou Hotmail pour copier votre carnet d’adresses ; plus il y a de services officiels et légitimes qui demandent votre mot de passe Google (incluant les sites App Engine), plus les utilisateurs vont le donner à quiconque le demande.

 

Sinon… est-ce que je devrais stresser que l’exemple “google-hosts.com” donné par le blog officiel me rappelle quelque chose ? Ou il y a un site réel dont l’adresse ressemble à ça ?

Je ne tape généralement pas mon mot de passe quand j’ai le moindre doute quant à qui pose la question (j’ai même changé mon mot de passe Twitter après avoir découvert qu’une application iPhone l’enregistrer sans prévenir sur les serveurs du développeur), mais personne n’est à l’abri d’une erreur, dans ce domaine.

Et, bien sûr et très évidemment, je change mon mot de passe Gmail toutes les semaines. Non, tous les jours, même. Enfin, tout ça pour dire que j’ai toujours eu une alerte iCal me rappelant de le changer toutes les six heures (ainsi que les mots de passe de mes noms de domaine et de mes serveurs, et le numéro de ma carte bleue).

 

Au fait, vous savez que tous les mots de passe de l’univers ne servent à rien si vous avez répondu la vérité à la “question secrète” de rappel du mot de passe, hein ?

 

P.S. La cross-promotion de Blogspot, c’est bien joli, mais quand j’arrive sur googleonlinesecurity.blogspot.com depuis TechMeme, comment je suis censé être sûr que c’est un vrai blog officiel de Google ?

Vous voulez savoir quand je poste du contenu sur mon blog ? Il suffit de vous inscrire gratuitement à un agrégateur RSS (Feedly, NewsBlur, Inoreader, …) et d'ajouter www.ff00aa.com à vos flux (ou www.garoo.net pour vous abonner à tous les sujets). On n'a pas besoin de newsletters, pas besoin de Twitter, le RSS existe toujours.

Albedo, il y a 6 ans :

Rien à voir mais quand je clique sur un sujet de ton blog dans mon agrégateur, il ouvre le blog et pas le sujet... J'en suis désespéré, je pense revendre mon PC et ne plus jamais retourner sur le web, à moins que tu trouves une solution.

garoo, il y a 6 ans :

Tu utilises quel agrégateur et tu cliques où ?
(En attendant de trouver le bug, si tu cliques sur le lien "comments" tu auras juste a scroller ensuite vers le haut de l'article.)

Albedo, il y a 6 ans :

Netvibes et je clique sur le titre du billet qui m'intéresse. Et en fait ça fait comme si j'avais cliqué sur le titre du blog. Mais bon, c'est pas un drame, j'ai décidé de garder mon PC et l'accès au web même si cette situation persiste :)

garoo, il y a 6 ans :

Oups, ah oui, y'avait un bug :)

Albedo, il y a 6 ans :

Yep, c'est à nouveau nickel !

Mentions légales : ce blog est hébergé par OVH, 2 rue Kellermann, 59100 Roubaix, France, www.ovhcloud.com.

Les données des visiteurs de ce blog ne sont pas utilisées ni transmises à des tiers. Les posteurs de commentaires peuvent demander leur suppression par e-mail.

Tous contenus © de l'auteur ou couverts par le droit de citation.