Google rassure les utilisateurs de Gmail

With help from affected users, we determined that the cause was a phishing scheme, a common method used by malicious actors to trick people into sharing their sensitive information. Attackers sent customized e-mails encouraging web domain owners to visit fraudulent websites such as "google-hosts.com" that they set up purely to harvest usernames and passwords. […]

Several news stories referenced a domain theft from December 2007 that was incorrectly linked to a Gmail CSRF vulnerability. We did have a Gmail CSRF bug reported to us in September 2007 that we fixed worldwide within 24 hours of private disclosure of the bug details. Neither this bug nor any other Gmail bug was involved in the December 2007 domain theft.

Et je ne vois aucune raison d’en douter. Comme je l’avais dit dans mes commentaires relatifs à la couverture médiatique de la supposée faille, la façon la plus simple et la plus efficace de hacker quoi que ce soit a toujours reposé sur le social engineering ; il est bien plus rentable de récolter en masse logins et mots de passe pour regarder ensuite qui possède un nom de domaine, plutôt que de créer des filtres cachés sur tous les comptes Gmail possibles et demander des rappels de mot de passe au hasard sur GoDaddy en espérant tomber sur une adresse qu’on a hackée. Ou, encore moins efficace, cibler un individu en particulier.

Les filtres cachés n’étaient pas le mécanisme essentiel de l’attaque, mais simplement un dispositif facilitant légèrement le travail du hacker, lui permettant de minimiser le temps passé connecté sur le compte de la victime, et s’assurant qu’elle ne recevrait pas le mail de confirmation du transfert de nom de domaine via POP ou IMAP, ou en ouvrant sa page Gmail pile au bon moment.

Au passage, Gmail favorise tout de même ce genre d’attaque par sa réticence à effacer quoi que ce soit : un hacker ayant accès à votre compte trouvera très facilement des messages dans l’archive si vous possédez un nom de domaine. Voire un message de rappel de mot de passe qu’il n’aura même pas à demander lui-même. Enfin, à supposer bien entendu que l’accès à votre nom de domaine soit protégé par un autre mot de passe que votre compte Google.

Et Google contribue aussi au phishing de comptes Gmail en utilisant les mêmes logins et mots de passe sur tous leurs sites. Passons sur les outils sociaux à la noix qui vous demandent votre mot de passe Google ou Hotmail pour copier votre carnet d’adresses ; plus il y a de services officiels et légitimes qui demandent votre mot de passe Google (incluant les sites App Engine), plus les utilisateurs vont le donner à quiconque le demande.

Sinon… est-ce que je devrais stresser que l’exemple “google-hosts.com” donné par le blog officiel me rappelle quelque chose ? Ou il y a un site réel dont l’adresse ressemble à ça ?

Je ne tape généralement pas mon mot de passe quand j’ai le moindre doute quant à qui pose la question (j’ai même changé mon mot de passe Twitter après avoir découvert qu’une application iPhone l’enregistrer sans prévenir sur les serveurs du développeur), mais personne n’est à l’abri d’une erreur, dans ce domaine.

Et, bien sûr et très évidemment, je change mon mot de passe Gmail toutes les semaines. Non, tous les jours, même. Enfin, tout ça pour dire que j’ai toujours eu une alerte iCal me rappelant de le changer toutes les six heures (ainsi que les mots de passe de mes noms de domaine et de mes serveurs, et le numéro de ma carte bleue).

Au fait, vous savez que tous les mots de passe de l’univers ne servent à rien si vous avez répondu la vérité à la “question secrète” de rappel du mot de passe, hein ?

P.S. La cross-promotion de Blogspot, c’est bien joli, mais quand j’arrive sur googleonlinesecurity.blogspot.com depuis TechMeme, comment je suis censé être sûr que c’est un vrai blog officiel de Google ?