Passer au contenu

Larry Page et Sergey Brin se font hameçonner par un particulier

Google, eBay, Yahoo, Twitter, … Beaucoup de géants du web n’avaient, il y a encore peu de temps, qu’une sécurité rudimentaire de leur messagerie. Histoire d’une découverte.

En décembre dernier, l’américain Zach Harris reçoit par email une proposition d’embauche par Google. Comme le relate « Wired », le mathématicien ne se montre alors pas intéressé, mais il remarque une chose étrange : la signature DKIM, qui permet d’authentifier le domaine de provenance d’un courriel, n’est chiffrée qu’avec une clé de 512 bits. Ce qui est très peu, surtout pour une société technologique telle que Google.

Il pense alors qu’il s’agit d’un jeu pour recruter. Google s’appuie souvent sur des problèmes mathématiques et informatiques pour attirer les hauts potentiels. Il décide donc de casser cette clé de chiffrement. « C’est faisable en 72 heures, en dépensant 75 dollars sur Amazon Web Services », explique-t-il. Une fois en possession du Graal, il décide d’envoyer un mail à Larry Page en se faisant passer pour Sergey Brin, et inversement. Une manière de leur dire « J’ai résolu l’énigme, les gars ! » Mais aucune réponse ne vient de la part de Google. Silence radio.

Alerte de sécurité

Deux jours plus tard, c’est la surprise. Les emails de Google sont signés avec une clé de 2048 bits, totalement inviolable. Zach Harris se rend compte alors qu’il ne s’agissait pas d’un jeu, mais d’une véritable faille de sécurité. Par curiosité, il vérifie les signatures DKIM d’autres géants du web. Même constat accablant : eBay, Yahoo, Twitter et Amazon n’utilisent qu’une clé de 512 bits.

Chez Paypal, LinkedIn, US Bank et HSBC, la clé a un taille de 768 bits. C’est mieux, mais toujours insuffisant aux yeux de Zach Harris. « C’est impossible à casser par un particulier comme moi, mais faisable par une grande organisation disposant d’importantes ressources informatiques. Le gouvernement iranien par exemple », souligne-t-il.

A ce jour, la plupart des entreprises testées ont rehaussé le niveau de sécurité de leur messagerie, mais pas toutes. C’est pourquoi Zach Harris a décidé de sortir de son silence et a raconté l’histoire. Une alerte de sécurité vient d’être publiée en conséquence par US-CERT.       

🔴 Pour ne manquer aucune actualité de 01net, suivez-nous sur Google Actualités et WhatsApp.

Gilbert Kallenborn
Les dernières actualités
Antony Blinken lors de la conférence RSA à San Francisco.
Cybersécurité : voici comment les États-Unis comptent contrer l’influence russe ou chinoise dans l’espace numérique
Smartphone
Bouygues fracasse la concurrence avec son nouveau forfait 90 Go en 5G à petit prix 👊
Lockbit Leader
Ransomware : le leader de Lockbit a été démasqué
Apple M4
La puce Apple M4 est-elle une puce M3 avec une moustache ?
Dimensity 9300+ Couv(2)
MediaTek lance le Dimensity 9300+ : plus fort et plus intelligent
Ace : des images du premier casque de Sonos sont en fuite
Logitech Mx Brio
Test Logitech MX Brio : une webcam 4K taillée pour le stream
Pixel Tablet
Une baisse de prix en trompe-l’œil pour la Pixel Tablet
Top téléchargements