Telle la chanson de Nancy Sinatra, les services de Google ont été "bang bang" puisque ces derniers jours, ceux-ci ont été soumis à des vulnérabilités assez importantes, permettant ainsi à des personnes mal intentionnées d'usurper les données personnelles de l'utilisateur !
Alors sans plus attendre, voici la "fusillade" en cascade mise en lumière via les différentes applications / service de Google :
- Premièrement, avec la messagerie Gmail (qui est toujours en version bêta), qui contient une faille dite "0-day" (qui est, pour rappel, une faille découverte le jour même de la publication de celle-ci, permettant alors à une personne malveillante d'anticiper cet évènement en exploitant au plus vite la faille, celle-ci n'ayant alors aucun correctif à ce moment-là) ; Et là encore on retrouve notre "Mr. Faille", alias Petko D. Petkov qui avait, souvenez-vous, mis à jour une faille sous Firefox ou encore plus récemment, sous Adobe Reader. Ainsi, il a découvert (sous la forme d'un Proof of concept) une faille de type CSRF (Cross-site request forgery), dont le principe est diabolique (mais malheureusement très répandue sur la toile) puisqu'il fait croire à l'utilisateur qu'il se logue à son compte Gmail alors, qu'en réalité, il est redirigé sur un site malveillant, qui "réceptionnera" alors les données personnelles et permettre ainsi à l'usurpateur d'exploiter ces données, en détournant notamment les mails et les pièces jointes. Toutefois, point positif : Google affirme avoir corrigé la faille, selon le communiqué envoyé par la firme à Petkov en date du 28 Septembre ;
- Deuxièmement, via le service Google Groups et plus précisément avec la fonction des sondages, permettant comme la faille précédente, de dérober les informations personnelles du Googlein, telles que les contacts qu'il possède, ses mails ou encore son ou ses comptes Gmail. Et sachez qu'il faut avoir les paramètres suivants pour être concerné par cette malchance : d'une, surfer sur le net via IE, Firefox, Opera ou bien Konqueror, de deux, ne pas avoir mis d'extensions qui bloqueraient le JavaScript (puisque le code s'exécute sous ce type de langage informatique) et enfin, de trois, s'être logué (identifié) sous son compte Gmail...mais là aussi, comme dirait notre ami Alf pas de panique (ou de problèmes !) puisque cette faille a semble t-il, selon Google lui-même, été corrigée ;
- Troisièmement, avec le service Google Search Appliance (solution destinée pour les entreprises, il permet, grosso modo, de rechercher des informations internes). Via l'utilisation d'une URL, le pirate averti peut implémenter du code malveillant, ayant pour principal effet de modifier complètement la page Web concernée. Et il ne s'agit pas d'une vulnérabilité à prendre à la légère puisque celle-ci serait exploitable sur pas moins de 200 000 sites, selon Google ;
- Quatrièmement, par le biais du service de mise en ligne de médias numériques, Picasa (découverte voilà quelques jours, par Billy (BK) Rios) qui, tout comme la faille de Gmail précédemment évoquée ci-dessus, met en danger les données personnelles de l'utilisateur en redirigeant celui-ci vers un site frauduleux, alors qu'il croit se connecter en bonne et due forme sur son compte Picasa. Notons cependant, qu'à l'instar de la faille Gmail, celle-ci utilise une attaque type XSS (Cross site scripting), où l'utilisateur est "non consentant" (puisque c'est la sécurité du site Web qui est éprouvée), alors que pour une attaque de type CSRF (Cross-Site Request Forgeries, dite "Sea Surf"), l'utilisateur est "à moitié" consentant (puisque c'est sa propre confiance envers un site Web qui est testée). Par contre, on peut se permettre d'esquisser un maigre sourire puisque la faille ne semble (selon Google) efficace que si l'utilisateur se décide d'abuser de nouvelles puces en téléchargeant celles-ci ;
Bref, il semble qu'à vouloir être trop "multi-pass" avec des services polyvalents, Google s'embarque plutôt dans la "moulti-poisse", avec un florilège de failles dignes de certains bulletins mensuels de la firme de Richmond !....Et "moulti-poisse" oblige, cela tombe en pleine "remodélisation" de sa solution destinée aux entreprises, Google Apps, sans compter que la société avait, rappelez-vous, décidé de surfer sur la vague "Open Source", en publiant un PowerPoint "alternatif" à Microsoft, qui s'ajoutait alors dans sa suite bureautique Google Documents.
Enfin bon, tout comme ceux qui cultivent la "moulti-poisse attitude", Google sait surement qu'il faut "voir le bien dans le mal" et qu'il y aura des jours meilleurs...A "moulti-méditer" !
Source : Article du 27 Septembre, écrit par Damien Bancal du site silicon.fr
|
