Pour gérer vos consentements :
Categories: Cloud

Google se hâte de colmater une brèche de sécurité dans Gmail

Google a proposé rapidement un correctif pour une faille susceptible de servir à un pirate d’effectuer des campagnes de spam après avoir visité un site infecté.

Initialement, c’est une bug que TechCrunch a signalé dès le 20 novembre alors qu’un individu surnommé Vahe G. avait créé un site pour exploiter cette vulnérabilité.

Dans le schéma, le visiteur du site était affecté si la session Gmail était active.

A priori, la vulnérabilité était également exploitée au cas où un utilisateur se servait ou non du mode « incognito » disponible sur le navigateur Google Chrome.

« Nous avons rapidement résolu le souci qui portait sur les API de scripts disponibles sur Google Apps. La faille pouvait enclencher l’envoi sauvage d’e-mails lorsque les internautes visitaient un site affecté par le biais d’une session Gmail », a déclaré un porte-parole de Google. « Nous avons immédiatement retiré le site qui servait de démonstration. »

Selon Graham Cluley, Consultant senior pour Sophos (éditeur de solutions de sécurité), cette faille représentait du pain béni pour les spammeurs.

« Bien que cet exploit [instructions qui permettent l’exploitation de la faille] ait été monté pour réaliser des petits méfaits, des pirates  plus malicieux auraient pu exploiter cette faille pour lancer des opérations d’envoi massif d’emails avec des pseudo-propositions alléchantes que l’on rencontre fréquemment. Elle pouvait également servir de levier pour diffuser des agents malveillants ou pour lancer une attaque par phishing », écrit-il dans une contribution blog en date du 21 novembre. « Les utilisateurs seraient tentés de cliquer sur le lien s’ils s’aperçoivent que cela provient de Google, quitte à compromettre leurs données personnelles ».

Pour l’expert en sécurité IT, le verdict est clair. « Cette faille était un trou sérieux dans la sécurité. Alors que les internautes veulent se fier à des webmails avec une boîte de réception fiable et un filtrage des e-mails entrants approprié. »

Récemment, Google a réactualisé son programme de récompenses des développeurs signalant des failles critiques directement à la division sécurité de la firme.

Adaptation libre en français d’un article eWeek.co.uk : Google Rushes Out Patch For Gmail Security Flaw (23/11/10)

Recent Posts

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 semaines ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 semaines ago

Cybersécurité : attention aux QR codes dans les PDF

Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…

2 mois ago

Windows 11 : une mise à jour majeure apporte de nouvelles fonctionnalités

Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…

3 mois ago

Microsoft 365 : comment Copilot se déploie dans toutes les applications

L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…

3 mois ago

PC Copilot + : Microsoft veut garder Recall

Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…

4 mois ago