Les utilisateurs de Gmail et de Picasa menacés de vol de données
par mail
l'article
Série noire pour Google. En l’espace de quelques semaines, le moteur de recherche a été épinglé une dizaine de fois pour des failles découvertes dans plusieurs de ses services en ligne, sa messagerie Gmail et Picasa. Ces vulnérabilités sont loin d’être anodines pour les utilisateurs, puisqu’elles pourraient conduire au vol de leurs données personnelles : courriers électroniques, pièces jointes, carnet d'adresses, clichés privés, etc.
Elles ont été mises à jour par des amateurs avertis, passionnés de micro ou informaticiens. Ils les ont rendues publiques après en avoir informé Google, qui assure travailler à colmater ces failles. En attendant, les internautes sont à la merci des pirates ou même de bidouilleurs mal intentionnés. Il leur est conseillé d'utiliser les outils Google avec des pincettes, en limitant la mise en ligne de données sensibles.
Des animations flash piégées
La plus récente de ces vulnérabilités a été révélée le 26 septembre par Billy (BK) Rios. Cet informaticien a montré qu’il était possible d’utiliser un simple objet flash (bannière publicitaire, animation, vidéo...) pour intercepter la totalité des données stockées par un utilisateur sur Gmail (courriels, signets, carnet d'adresses...). Il propose même une démonstration de la manœuvre sur son blog.
Une autre faille a été découverte le 24 septembre par Petko D.Petkov. Ce chercheur en sécurité informatique, à qui l'on doit déjà des découvertes de vulnérabilités dans QuickTime ou encore dans le format PDF, a révélé que les utilisateurs de Gmail pouvaient être piégés s’ils cliquaient sur une adresse Internet bien particulière contenant un code pirate. Ils risquent alors le détournement de tous leurs courriers électroniques, pièces jointes comprises.
Il y a quelques jours, Billy (BK) Rios, encore lui, épinglait cette fois-ci Picasa. Selon lui, un pirate peut utiliser le logiciel de partage de photos de Google pour mettre la main sur les clichés privés d’un autre utilisateur du service. Il suffit de manipuler une adresse (URI) du type “ picasa:// ”. La même menace plane sur le système de vote Blogspot présent dans Gmail. En quelques clics, un pirate peut transférer l'ensemble des courriels d’une victime vers son propre compte. “ Impensable, s'étonne Eric Romang, architecte réseau dans une importante société luxembourgeoise. Et pourtant Google semble être tombé dans des travers informatiques qu'il devrait maîtriser. ”
01net. - 01men - RMC - BFM Radio - BFM TV - TousLesPodcasts - 01informatique.fr - Association RMC-BFM
