Gmail : des données à la merci des pirates ?

Petko Petkov, un chercheur britannique expose cette semaine les conséquences que pourraient avoir une faille de sécurité découverte dans le service de messagerie Gmail de Google, utilisé par près de 50 millions de personnes dans le monde. Cette vulnérabilité permettrait à un attaquant malintentionné de se procurer un accès au compte d'un internaute en amenant ce dernier à naviguer sur une page infectée. L'exploitation de cette faille passe par la méthode dite du Cross-Site Request Forgeries.

Comme d'autres services en ligne, Gmail laisse ouverte la session d'un internaute après qu'il a consulté ses messages de façon à ce que celui-ci n'ait pas à saisir à nouveau ses identifiants s'il décide de retourner consulter sa boite de réception. Les identifiants sont alors stockés dans ce que l'on appelle un « cookie ».

Pour exploiter la faille dont il est question ici, il suffirait d'amener l'internaute à visiter une page infectée d'un code capable de profiter de cette passerelle ouverte vers le compte Gmail. A l'aide de ce code, il serait par exemple possible de demander à Gmail d'opérer une redirection permanente vers le mail de son choix. Ainsi, un pirate se verrait adresser tous les messages de sa victime sans que cette dernière soit au courant. L'intérêt d'une telle attaque est qu'elle reste valable tant que la victime ne modifie pas les paramètres de redirection, même si Google comble la faille ayant permis cette intrusion.

Comme le souligne Petkov, il est bien plus efficace pour un pirate d'obtenir un accès permanent aux messages de sa victime plutôt que de forcer une seule et unique fois l'accès à son compte. Pernicieuse, et plus fine, cette méthode permet un vol d'informations sur le long terme, à l'insu de la cible. Google, prévenu avant la publication de ces informations, ne s'est pas encore exprimé sur le sujet. Précisons pour finir qu'il est a priori inutile de s'inquiéter pour le moment puisque le code ayant permis de démonter l'existence de cette faille n'a pas été rendu public. Fermer sa session avant de reprendre son surf devrait permettre de se prémunir de ce type d'attaque.