Qualys

Security CommunityLa communauté des experts sécuritéen savoir plus

SecurityVibesQualys Community

Left content

Google Gmail était trop bavard

auteur de l'article Jerome Saiz , dans la rubrique Menaces

Commentaires Commentaires fermés sur Google Gmail était trop bavard

Une faille vient d’être corrigée dans Gmail, le webmail populaire de Google. Elle permettait à n’importe quel abonné au service de lire une partie du courrier des autres utilisateurs. Mais bien que l’affaire soit très médiatisée, la faille, elle, n’était finalement pas si sérieuse : telle une vaste lotterie aux indiscrétions, il était impossible de prévoir quelles informations seraient dévoilées. De quoi néanmoins faire le bonheur des voyeurs.


Il suffisait d’envoyer un courrier malformé à sa propre adresse Gmail pour y découvrir, au petit bonheur la chance, des morceaux d’emails d’autres utilisateurs. Google a rapidement corrigé la vulnérabilité et, aussi amusant soit-il, le jeu n’est désormais plus possible.

L’affaire a été révélée par des utilisateurs américains alors qu’ils testaient le script d’envoi de leur newsletter. Buggé, le programme expédiait des courriers légérement non-standards, ce dont personne s’était apperçu jusqu’alors. Mais a la réception de leur newsletter sur un compte Gmail, cette dernière contenait non seulement leur propre courrier, mais aussi ceux de plusieurs autres utilisateurs du webmail !

Le fautif serait une mauvaise validation du champ ‘From:’ des emails. En omettant de fermer une balise, Gmail intégrait tout le contenu qu’il trouvait jusqu’à ce qu’il rencontre enfin une balise fermante, généralement dans le prochain mail correctement formé.

Bien sûr, puisqu’il est impossible de savoir quand la prochaine balise fermante apparaîtra dans un autre courrier, il n’était pas possible de cibler un utilisateur ou même un contenu particulier. Un pirate éventuel ne pouvait donc se fier qu’au hasard pour espérer découvrir des informations confidentielles. L’attaque n’était pas très efficace donc, même si le risque, lui, était bien réel. Les voyeurs, quant à eux, devaient être ravis !


Vous avez aimé cet article?

Cliquez sur le bouton J'AIME ou partagez le avec vos amis!

Notez L'article

Participez ou lancez la discussion!

Les commentaires sont fermés.

Catégories

Étiquettes

Archives

Ce site est une archive des messages à SecurityVibes de Septembre 2000 à Juillet 2014. S'il vous plaît visitez le Qualys Community pour les dernières nouvelles.