Larry Page et Sergey Brin se font hameçonner par un particulier

Il pense alors qu’il s’agit d’un jeu pour recruter. Google s’appuie souvent sur des problèmes mathématiques et informatiques pour attirer les hauts potentiels. Il décide donc de casser cette clé de chiffrement. « C’est faisable en 72 heures, en dépensant 75 dollars sur Amazon Web Services », explique-t-il. Une fois en possession du Graal, il décide d’envoyer un mail à Larry Page en se faisant passer pour Sergey Brin, et inversement. Une manière de leur dire « J’ai résolu l’énigme, les gars ! » Mais aucune réponse ne vient de la part de Google. Silence radio.

Deux jours plus tard, c’est la surprise. Les emails de Google sont signés avec une clé de 2048 bits, totalement inviolable. Zach Harris se rend compte alors qu’il ne s’agissait pas d’un jeu, mais d’une véritable faille de sécurité. Par curiosité, il vérifie les signatures DKIM d’autres géants du web. Même constat accablant : eBay, Yahoo, Twitter et Amazon n’utilisent qu’une clé de 512 bits.

Chez Paypal, LinkedIn, US Bank et HSBC, la clé a un taille de 768 bits. C’est mieux, mais toujours insuffisant aux yeux de Zach Harris. « C’est impossible à casser par un particulier comme moi, mais faisable par une grande organisation disposant d’importantes ressources informatiques. Le gouvernement iranien par exemple », souligne-t-il.

A ce jour, la plupart des entreprises testées ont rehaussé le niveau de sécurité de leur messagerie, mais pas toutes. C’est pourquoi Zach Harris a décidé de sortir de son silence et a raconté l’histoire. Une alerte de sécurité vient d’être publiée en conséquence par US-CERT.