Blogueur spécialiste dans les technologies, Lee Mathews est un contributeur de Forbes.com.
Son article nous explique comment une vulnérabilité de Gmail, le service de messagerie Google a pu, avant sa correction, permettre à des pirates d’envoyer des mails ou faire du phishing depuis votre adresse .
Google a conscience que votre travail en ligne est de plus en plus compliqué c’est pourquoi, il a créé une nouvelle fonctionnalité à son service de messagerie Gmail: «Envoyer en tant que» . Elle vous permet, comme son nom l’indique, d’envoyer un email depuis une autre de vos adresses mails. Même si cette fonctionnalité est appréciable, elle a pu, aussi, être une aubaine pour les hackers qui auraient su l’exploiter.
Ahmed Mehtab, fondateur de Security Fuse, a découvert une vulnérabilité dans le système que Gmail utilise pour vérifier si l’email secondaire appartient bien à l’utilisateur. Tout ce qu’il a eu à faire a été de tromper les serveurs Gmail afin qu’ils lui retournent une notification d’email de « non délivraison » (undelivered mail).
Une fois le message reçu et, somme toute, avec une relative facilitée, Ahmed Mehtab a été capable après quelques petites manipulations supplémentaires d’envoyer des emails avec les adresses [email protected] et [email protected], sans que Gmail ne l’en empêche!
En quoi cela intéresserait quelqu’un de pouvoir faire cela ? Parce ces adresses semblent officielles et issues de l’autorité de Google. Les attaques de phishing qui auraient été émises depuis des adresses emails comme celles-ci auraient l’apparence de mails officiels pour de nombreux utilisateurs. Cela augmenterait de manière considérable les chances (risques ?) de succès de ces attaques.
Votre compte a-t-il pu être exploité ?
Il y a des conditions précises qui ont pu permettre à Ahmed Mehtab de pirater une adresse. La plus importante est que cette méthode ne fonctionne que pour les adresses qui envoient des emails via les serveurs SMTP de Gmail (les emails @ gmail.com, googlemail.com, ou google.com).
Seuls certains comptes ont pu être utilisés car il n’y a que trois cas de figures possibles : Il faut que le compte ait été préalablement désactivé OU qu’il n’ait jamais existé OU et c’est cette hypothèse qui est la plus inquiétante, que le compte ait volontairement bloqué l’adresse mail avec laquelle le pirate a mené la première phase de son piratage (pour pouvoir recevoir la fameuse notification « undelivered mail »). Et dans ce dernier cas, une attaque sociale bien menée, qui aurait d’abord incité de nombreux utilisateurs à bloquer volontairement leur adresse mail, aurait permis aux pirates -avant la correction de cette faille- d’utiliser les comptes bloqués (compte de facto existant).
Restez calme et continuez comme si de rien n’était…
Même si la découverte d’Ahmed Mehtab est très alarmante, il n’y a aucune raison de paniquer et de fermer votre compte google. Il a révélé les détails de cette vulnérabilité à Google le 20 octobre dernier et les services de la société l’ont corrigée le 1 novembre. Jusqu’à la prochaine…
Vous avez aimé cet article ? Likez Forbes sur Facebook
Newsletter quotidienne Forbes
Recevez chaque matin l’essentiel de l’actualité business et entrepreneuriat.
Abonnez-vous au magazine papier
et découvrez chaque trimestre :
- Des dossiers et analyses exclusifs sur des stratégies d'entreprises
- Des témoignages et interviews de stars de l'entrepreneuriat
- Nos classements de femmes et hommes d'affaires
- Notre sélection lifestyle
- Et de nombreux autres contenus inédits