Pour gérer vos consentements :
Categories: Cloud

Google se hâte de colmater une brèche de sécurité dans Gmail

Google a proposé rapidement un correctif pour une faille susceptible de servir à un pirate d’effectuer des campagnes de spam après avoir visité un site infecté.

Initialement, c’est une bug que TechCrunch a signalé dès le 20 novembre alors qu’un individu surnommé Vahe G. avait créé un site pour exploiter cette vulnérabilité.

Dans le schéma, le visiteur du site était affecté si la session Gmail était active.

A priori, la vulnérabilité était également exploitée au cas où un utilisateur se servait ou non du mode « incognito » disponible sur le navigateur Google Chrome.

« Nous avons rapidement résolu le souci qui portait sur les API de scripts disponibles sur Google Apps. La faille pouvait enclencher l’envoi sauvage d’e-mails lorsque les internautes visitaient un site affecté par le biais d’une session Gmail », a déclaré un porte-parole de Google. « Nous avons immédiatement retiré le site qui servait de démonstration. »

Selon Graham Cluley, Consultant senior pour Sophos (éditeur de solutions de sécurité), cette faille représentait du pain béni pour les spammeurs.

« Bien que cet exploit [instructions qui permettent l’exploitation de la faille] ait été monté pour réaliser des petits méfaits, des pirates  plus malicieux auraient pu exploiter cette faille pour lancer des opérations d’envoi massif d’emails avec des pseudo-propositions alléchantes que l’on rencontre fréquemment. Elle pouvait également servir de levier pour diffuser des agents malveillants ou pour lancer une attaque par phishing », écrit-il dans une contribution blog en date du 21 novembre. « Les utilisateurs seraient tentés de cliquer sur le lien s’ils s’aperçoivent que cela provient de Google, quitte à compromettre leurs données personnelles ».

Pour l’expert en sécurité IT, le verdict est clair. « Cette faille était un trou sérieux dans la sécurité. Alors que les internautes veulent se fier à des webmails avec une boîte de réception fiable et un filtrage des e-mails entrants approprié. »

Récemment, Google a réactualisé son programme de récompenses des développeurs signalant des failles critiques directement à la division sécurité de la firme.

Adaptation libre en français d’un article eWeek.co.uk : Google Rushes Out Patch For Gmail Security Flaw (23/11/10)

Recent Posts

PC Copilot+ : avec Arm ou x86 ?

Trop tôt pour envisager d'acquérir un PC Copilot+ ? Les roadmaps d'Intel et d'AMD peuvent…

2 semaines ago

Copilot+ : une sélection de PC convertibles

Dévoilés lors du CES 2025, les PC Copilot+ au format convertible restent encore limitée dans…

4 semaines ago

Avec Gemini intégré à Google Workspace, les prix s’envolent

Les fonctionnalités de Gemini sont intégrées dans la suite bureautique Google Workspace. Conséquence : les…

4 semaines ago

PC Copilot+ : c’est parti pour la transformation du parc

Au CES 2025, les principaux constructeurs ont annoncé l'arrivée des ordinateurs de bureau dotés de…

1 mois ago

PC Copilot+ : une porte d’entrée vers l’ IA locale ?

Equipés de NPU, les PC Copilot+ peuvent déployer des LLM en local. Un argument suffisant…

2 mois ago

PCIe 5.0 : La révolution des cartes-mères est-elle en marche ?

Que vous soyez un novice dans le domaine informatique, ou avec un profil plus expérimenté,…

3 mois ago