supinfo
supinfo
Connexion :
Abonnement NewsletterOk
 

Gmail : des données à la merci des pirates ?

Publiée par Alex le Jeudi 27 Septembre 2007

Brève Sécurité

Petko Petkov, un chercheur britannique expose cette semaine les conséquences que pourraient avoir une faille de sécurité découverte dans le service de messagerie Gmail de Google, utilisé par près de 50 millions de personnes dans le monde. Cette vulnérabilité permettrait à un attaquant malintentionné de se procurer un accès au compte d'un internaute en amenant ce dernier à naviguer sur une page infectée. L'exploitation de cette faille passe par la méthode dite du Cross-Site Request Forgeries.

Comme d'autres services en ligne, Gmail laisse ouverte la session d'un internaute après qu'il a consulté ses messages de façon à ce que celui-ci n'ait pas à saisir à nouveau ses identifiants s'il décide de retourner consulter sa boite de réception. Les identifiants sont alors stockés dans ce que l'on appelle un « cookie ».

Pour exploiter la faille dont il est question ici, il suffirait d'amener l'internaute à visiter une page infectée d'un code capable de profiter de cette passerelle ouverte vers le compte Gmail. A l'aide de ce code, il serait par exemple possible de demander à Gmail d'opérer une redirection permanente vers le mail de son choix. Ainsi, un pirate se verrait adresser tous les messages de sa victime sans que cette dernière soit au courant. L'intérêt d'une telle attaque est qu'elle reste valable tant que la victime ne modifie pas les paramètres de redirection, même si Google comble la faille ayant permis cette intrusion.



Comme le souligne Petkov, il est bien plus efficace pour un pirate d'obtenir un accès permanent aux messages de sa victime plutôt que de forcer une seule et unique fois l'accès à son compte. Pernicieuse, et plus fine, cette méthode permet un vol d'informations sur le long terme, à l'insu de la cible. Google, prévenu avant la publication de ces informations, ne s'est pas encore exprimé sur le sujet. Précisons pour finir qu'il est a priori inutile de s'inquiéter pour le moment puisque le code ayant permis de démonter l'existence de cette faille n'a pas été rendu public. Fermer sa session avant de reprendre son surf devrait permettre de se prémunir de ce type d'attaque.
Actu précédente
Brève suivante
Les Commentaires des lecteurs
_
Contacter le membreVoir profil
NEV
le 27 Sept. 07 à 11h59
Edition
 
Il n'y a pas ce même problème de session sur hotmail?

Depuis quelques temps la session ne semble pas expirer
Edité le 27/09/2007 à 12:01
 
le 27 Sept. 07 à 12h02
Edition
 
si il me semble mais la méthode est un peu différente
 
le 27 Sept. 07 à 12h03
Edition
 
d'où l'intéret de fermer sa session avant de naviguer sur une autre page...
 
le 27 Sept. 07 à 12h14
Edition
 
ça ne suffit pas a priori. Dés lors que tu acceptes de rester connecter tu crées le cookie... donc tu peux rester connecté éventuellement mais pas pas autoriser la connexion auto ;)
 
le 27 Sept. 07 à 12h28
Edition
 
Ou ne jamais utiliser son compte Gmail et avoir une redirection permanent vers un compte mail perso (compte professionnel par exemple) via Thunderbird ou autre...

Non?
 
le 27 Sept. 07 à 12h34
Edition
 
pas aussi grave et accessible que les injections HTML/JavaScript qui avaient tant de succes chez hotmail et caramail il y a 10 ans. Ca ne devrait pas toucher grand monde tant qu'on a bien choisi/paramétré son navigateur
 
le 27 Sept. 07 à 12h41
Edition
 
"Ou ne jamais utiliser son compte Gmail et avoir une redirection permanent vers un compte mail perso (compte professionnel par exemple) via Thunderbird ou autre..."

... et perdre ainsi tout l'intérêt de GMail
 
le 27 Sept. 07 à 12h44
Edition
 
Je cherchait pourquoi il y avait écrit Goo9le sur le logo Google aujourd'hui (maintenant je sais, c'est pour les 9 ans de Google)
et je suis tombé sur ça:
www.google.com...
Ce truc de G33K!
Et j'ai bien l'impression que c'est un vrai hack! Après avoir cliqué sur un des liens je me suis retrouvé avec mon www.google.com tout écrit en leet speak!
Bon, après il suffit de rerégler English dans les préférences et tout est redevenu OK!
 
le 27 Sept. 07 à 12h45
Edition
 
Je me trompe peut etre... mais en cookie on ne stock pas les IDENTIFIANTS de l'utilisateur, mais un identifiant de session (session contenant des informations coté SERVEUR), ce qui me semble un peu différent !
 
le 27 Sept. 07 à 12h54
Edition
 
Jackovson a écrit:
Je me trompe peut etre... mais en cookie on ne stock pas les IDENTIFIANTS de l'utilisateur, mais un identifiant de session (session contenant des informations coté SERVEUR), ce qui me semble un peu différent !

Exactement. Et du moment que la session reste ouverte côté serveur, quelqu'un qui attaque le cookie peut reprendre l'info et envoyer des commandes dans cette session. Typiquement celle qui permet de mettre en place un transfert de courrier..

Une déconnexion n'efface pas le cookie mais empêche que le serveur gmail accepte la commande entrante.
Il leur est possible dans un 1er temps conserver l'IP du client sur la session serveur et de la recomparer à ceux de la requête entrante pour autoriser certaines fonctions, mais il suffit d'un IP spoofer pour contourner cette protéction..
Pas si simple quoi..
 
le 27 Sept. 07 à 12h59
Edition
 
Jackovson a écrit:
Je me trompe peut etre... mais en cookie on ne stock pas les IDENTIFIANTS de l'utilisateur, mais un identifiant de session (session contenant des informations coté SERVEUR), ce qui me semble un peu différent !

En effet.
Je sais plus comment mais j'étais déjà au courant de cette faille et en fait il y a une solution toute simple : non pas se déconnecter, mais fermer son navigateur après être allé sur Gmail.
Ainsi, les sessions du navigateur sont remises à zéro.
Enfin, je ne sais pas les détails techniques mais il me semble que ça fonctionne, parce que Gmail se base aussi sur les sessions côté navigateur pour autoriser l'accès nan ?
Edité le 27/09/2007 à 13:03
 
le 27 Sept. 07 à 13h00
Edition
 
Pour Gmail je passe via Thunderbird, je suppose donc ne pas être concerné par ce type de problème....

Liensun a écrit:
d'où l'intéret de fermer sa session avant de naviguer sur une autre page...

et de virer tout les cookies une fois par jour....
 
le 27 Sept. 07 à 13h03
Edition
 
tu as raison l'ami. La session coté serveur contient toutes les infos de l'utilisateur, le cookie que son numéro, il est théoriquement possible de voler la session si l'on a son ID en se faisant passer pour l'hote.

Dans la pratique c'est beaucoup moins évident mais faisable de mon point de vue.
 
le 27 Sept. 07 à 13h05
Edition
 
Original le nom du gars :lol:
 
le 27 Sept. 07 à 13h33
Edition
 
dhabrelin a écrit:
Ou ne jamais utiliser son compte Gmail et avoir une redirection permanent vers un compte mail perso (compte professionnel par exemple) via Thunderbird ou autre...

Non?

Ben non.
Tout l'intérêt d'utiliser le webmail Gmail c'est bien sa gestion avancées des messages sur le webmail et sa capacité de stockage.
C'est précisément pour éviter pop/imap ou de forwarder qu'on utilise Gmail ...
Suffit de fermer sa connexion ou effacer automatiquement les cookies à la fermeture du navigateur ...
 
le 27 Sept. 07 à 13h33
Edition
 
On choisit pas sa famille, ni son prénom
 
le 27 Sept. 07 à 13h38
Edition
 
Alors il faut aussi éviter iGoogle (page de recherche personnalisée). Car quand on se connecte à cette page on ouvre aussi une session non?
 
le 27 Sept. 07 à 14h00
Edition
 
Gmail laisse ouverte la session d'un internaute après qu'il a consulté ses messages

--> "...après qu'il ait consulté..." :na:

Tout se perd mes amis, tout se perd ! :D
 
le 27 Sept. 07 à 14h01
Edition
 
Ce qui est relaté dans la news est bien un souci lié à l'utilisation de "sessions". Une session est parfaitement récupérable sur une autre machine. Elle se trouve assez souvent dans une simple URL (par exemple : PHPSESSID=4501421881585d8 - exemple fictif bien sûr). Un cookie par contre ne peut être récupéré aussi facilement. Il faut que l'espion soit sur la même machine serveur que l'applicatif lié au cookie à récupérer (sauf faille grave du navigateur).
 
Continuer sur le forum
50 messages
1
2
3
>
 



 
Clubic.com
 
Achetez-facile.com
 
Jeuxvideo.fr
 
neteco.com
 
mobinaute.com