mardi 26 août 2008

Les comptes Gmail en danger ?





La série noire continue pour les comptes Gmail qui donnent accès aux services en ligne de Google, notamment les Google Apps. Après les problèmes de disponibilité rencontrés ces dernières semaines, leur sécurité est aujourd'hui publiquement remise en cause par les experts. Lors de la conférence de sécurité Defcon, qui s'est tenue la semaine dernière à Las Vegas, le chercheur américain Mike Perry a en effet dévoilé une faille du service d'authentification de Google qui permet de pirater des comptes utilisateurs.
Le problème vient de ce que Google ne chiffre que la procédure d'authentification de ses utilisateurs en utilisant temporairement une connexion SSL (Secure Socket Layer ; l'adresse du site commence alors par https).
Une fois l'authentification effectuée, la connexion n'est plus chiffrée. Un cookie (petit fichier texte) est placé dans le cache et sert de sésame pour accéder aux services de Google pendant deux semaines ou jusqu'à ce que l'internaute demande la déconnexion de son compte (ce qui efface le cookie).
Selon Mike Perry, il est possible de récupérer ce cookie grâce à un outil automatisé de sa conception. « La faille n'est pas nouvelle et le risque est limité car l'attaquant doit être capable de modifier le trafic d'un utilisateur à la volée. Il doit donc se trouver sur le même segment réseau afin de réaliser au préalable une attaque man in the middle », explique Raphaël Marichez, expert en sécurité au sein de HSC Consultants. Les réseaux Wi-Fi publics sont théoriquement plus vulnérables à ce type d'attaque, qui nécessite de pouvoir s'intercaler sur le réseau.
Mike Perry prévoit de rendre public, au début du mois de septembre, l'outil qu'il a mis au point afin d'inciter Google et les autres sites qui utilisent cette méthode d'authentification (comme Amazon ou Facebook) à réagir.
Préalablement alerté, Google a discrètement ajouté une option à la fin du mois de juillet dernier permettant d'utiliser en permanence une liaison SSL pour accéder à ces services. Il suffit d'aller en bas de la rubrique « Général » du menu « Paramètres » pour l'activer.

Source : O1net

Partagez cet article sur vos réseaux sociaux :



Recevez les nouveautés par email

0 commentaires:

Sélectionnez les signes à côté du smiley à insérer dans votre commentaire

:)) ;)) ;;) :X :(( =(( :-o :-* :| :)] :-t
b-( :-L :-/ o_O :D ;) :p :) :( 8-) ^^

Enregistrer un commentaire

Related Posts with Thumbnails