Actualités

Les utilisateurs de Gmail et de Picasa menacés de vol de données

En quelques jours, plus d'une dizaine de failles ont été découvertes dans les services en ligne de Google. Des pirates pourraient s'en servir pour dérober les données des utilisateurs.

Damien Bancal

01net.

le 27/09/07 à 19h11

6 réactions

envoyer
par mail

imprimer
l'article

Série noire pour Google. En l'espace de quelques semaines, le moteur de recherche a été épinglé une dizaine de fois pour des failles découvertes dans plusieurs de ses services en ligne, sa messagerie Gmail et Picasa. Ces vulnérabilités sont loin d'être anodines pour les utilisateurs, puisqu'elles pourraient conduire au vol de leurs données personnelles : courriers électroniques, pièces jointes, carnet d'adresses, clichés privés, etc.

Elles ont été mises à jour par des amateurs avertis, passionnés de micro ou informaticiens. Ils les ont rendues publiques après en avoir informé Google, qui assure travailler à colmater ces failles. En attendant, les internautes sont à la merci des pirates ou même de bidouilleurs mal intentionnés. Il leur est conseillé d'utiliser les outils Google avec des pincettes, en limitant la mise en ligne de données sensibles.

Des animations flash piégées

La plus récente de ces vulnérabilités a été révélée le 26 septembre par Billy (BK) Rios. Cet informaticien a montré qu'il était possible d'utiliser un simple objet flash (bannière publicitaire, animation, vidéo...) pour intercepter la totalité des données stockées par un utilisateur sur Gmail (courriels, signets, carnet d'adresses...). Il propose même une démonstration de la man?"uvre sur son blog.

Une autre faille a été découverte le 24 septembre par Petko D.Petkov. Ce chercheur en sécurité informatique, à qui l'on doit déjà des découvertes de vulnérabilités dans QuickTime ou encore dans le format PDF, a révélé que les utilisateurs de Gmail pouvaient être piégés s'ils cliquaient sur une adresse Internet bien particulière contenant un code pirate. Ils risquent alors le détournement de tous leurs courriers électroniques, pièces jointes comprises.

Il y a quelques jours, Billy (BK) Rios, encore lui, épinglait cette fois-ci Picasa. Selon lui, un pirate peut utiliser le logiciel de partage de photos de Google pour mettre la main sur les clichés privés d'un autre utilisateur du service. Il suffit de manipuler une adresse (URI) du type ' picasa:// '. La même menace plane sur le système de vote Blogspot présent dans Gmail. En quelques clics, un pirate peut transférer l'ensemble des courriels d'une victime vers son propre compte. ' Impensable, s'étonne Eric Romang, architecte réseau dans une importante société luxembourgeoise. Et pourtant Google semble être tombé dans des travers informatiques qu'il devrait maîtriser. '

Actu précédente

Les sites d'enchères accusés de faciliter la vente de logiciels piratés

Actu Suivante

La Ville rose au c?"ur de la culture ?

6 AVIS SUR CET ARTICLE

Avis sur «Les utilisateurs de Gmail et de Picasa menacés de vol de données»

Ne tirez pas sur le pianiste

de Nico110 , posté le 27 septembre 2007 à 22h47

Dire qu'inciter un utilisateur à ajouter une animations flash piégée à ses documents Googles Docs pour pouvoir le pirater est une faille de Google c'est comme dire que l'inciter à ouvrir un virus en pièce jointe d'un message est une faille du logiciel de messagerie.

Ces "failles" sont tirées par les cheveux et ont surtout comme but d'attirer l'attention des journalistes en quête de sensationnel pour des articles à la gloire de leurs inventeurs. Si réellement elles avaient été si dangereuses, ils ne les auraient pas publiées sans attendre leur correction.

alerter le modérateur

Mafia ou média ?

de Dovik , posté le 28 septembre 2007 à 01h03

Mdr :)
Même en 2007 des manipulations aussi absurdes et évidentes font la une d'un site aussi sérieux que 01net.
Mr. Microsoft, t'as payé cb pour cette news ?
Arnaque, manipulation, fourberie déloyal, voilà les odeurs qui émanent de tout ça.
Au fait, la femme de Bill Gates a introduit Ebola en Birmanie ! Si si je vous jure !!

alerter le modérateur

Non non

de Osef , posté le 28 septembre 2007 à 01h20

Cet article tente de faire un bon resume des failles recentes XSS ... et il y parvient.
Il n est en effet pas de la faute de Google si quelqu un exploite cette vulnerabilite, mais Google est bien le site le plus expose et de loin.
Pour des details plus techniques, le lien vers le site de Billy Rios est donne dans l article.
Si vous comprenez l anglais, vous realiserez aussi qu il ne s agit pas de taper sur google...
Cessez de voir le mal partout ... et desactivez vos URIs (http://fr.wikipedia.org/wiki/Uniform_Resource_Identifier) ... dont celle de google.

alerter le modérateur

URI ??

de sly de paris , posté le 01 octobre 2007 à 14h11

ça veut rien dire "désactiver vos URI" !!

Ou alors tu m'expliques comment tu fais, je suis curieux ...

alerter le modérateur

Google et les données personnelles

de Neriki , posté le 28 septembre 2007 à 11h56

A mon avis, la vrai faille de Google, c'est de confier des données personnelles et confidentielles à une société qui collabore avec des régimes anti démocratique (cf la publicité est interdite sur ce forum )

"We're not evil." Mon oeil! :berk:

alerter le modérateur

antidemocratique

de jacqouille2 , posté le 23 juillet 2008 à 15h25

votre message est bien catégorique. Il serait bon de citer quelques sources fiable pour cette information.
A+

alerter le modérateur