Google Desktop victime d’une vulnérabilité jugée importante

Les internautes qui ont installé Google Desktop sur leur machine ont-ils frôlé la catastrophe? C’est ce que laisse entendre Watchfire Corp au détour d’une dépêche d’Associated Press. Cette société de sécurité IT a décelé en début d’année une faille de sécurité importante dans l’outil d’indexation de Google.

Lancé en 2004 et utilisé par des millions de personnes, Google Desktop permet d’indexer l’ensemble des documents (comme les textes ou les mails) stockés sur le disque dur local (ou d’un ensemble de machines en réseau) afin d’accélérer et de faciliter la recherche de contenus par l’utilisateur. Si l’outil propose une interface de recherche locale, il permet également d’effectuer des requêtes en ligne.

Selon Watchfire, c’est cette proximité entre le disque dur local et le réseau mondial qui pose problème. Une faille de type « cross-site scripting » (XSS) aurait permis à un attaquant de placer un code malicieux afin d’espionner ou prendre le contrôle de l’ordinateur de la victime.

Watchfire déclare qu’il a fait part de sa découverte à Google le 4 janvier 2007. La vulnérabilité a été comblée le 1er février. De son côté, Google déclare ne pas avoir été alerté par l’exploitation éventuelle de la faille, toujours selon l’agence de presse. Il n’en reste pas moins que d’autres vulnérabilités peuvent se reproduire. Au risque d’exposer une nouvelle fois les données des utilisateurs aux pirates. Une aubaine pour les éditeurs de solutions antivirales.