L’absence de recours dans Gmail peut faciliter les crimes après des fuites de données – Antivirus et sécurité – info

L’absence de fonctionnalité de sécurité dans les comptes d’entreprise Gmail peut faciliter l’action des criminels. Le scénario a été remarqué par un chasseur de bugs brésilien : le transfert automatique des e-mails ne génère pas d’avertissement sur les comptes avec son propre domaine, contrairement aux comptes avec @gmail .com. Cette méthode de « clonage » du compte Gmail est potentiellement dangereuse lorsqu’elle est ajoutée aux fuites de données, qui sont de plus en plus courantes au Brésil.

Application Gmail sur iPhone (Image : Ana Marques/info)

Leandro Duarte, toujours en 2017, alors qu’il n’avait que 14 ans, a identifié le problème. Le bogue présumé a été signalé à Google en décembre 2019.

À

l’info, le jeune homme de Paraisópolis, une communauté du sud de la capitale de São Paulo, rapporte avoir remarqué la situation en essayant de rediriger des messages de plusieurs courriels vers une seule boîte de réception :

« J’ai réalisé que c’était un bug car, quand il était temps de rediriger les messages d’un e-mail X vers un autre et- mail Y, Gmail affiche une bannière rouge sur la version de la plate-forme de bureau sur la version Web d’autres comptes avec un domaine Gmail et non de son propre domaine, comme un compte @gov .br, par exemple. »

Bannière d’avertissement rouge Gmail (Image : Reproduction/Leandro Duarte)

Leandro est connu comme un chasseur de bugs – une sorte de chasseur de défauts pour avoir signalé des failles sur d’autres sites. Il a déjà signalé des bugs de fuite de données pour la plateforme israélienne Lush a, et une vulnérabilité d’injection SQL sur le site de l’Université de Stanford. Le jeune homme a déjà participé à des événements liés à la technologie, tels que CS 15, organisé par l’Université Harvard, et Hack Station de Facebook.

Pourquoi l’absence d’avertissement pose-t-elle problème ?

Le fait que Gmail autorise le partage d’e-mails n’est pas une faille de sécurité, car le transfert est une fonction standard entre les comptes Gmail. Toutefois, si les données de l’utilisateur sont divulguées, l’absence d’avertissement de transfert peut être exploitée pour compromettre le compte Gmail de la victime.

Comme le décrit Leandro, l’activation de la fonctionnalité de transfert fonctionne comme suit :

  1. Dans Gmail, l’utilisateur ouvre d’abord la section POP/IMAP. Les deux sont des outils différents pour accéder à la boîte de réception des courriels, le premier étant normalement utilisé quotidiennement. C’est IMAP qui permet l’accès à un compte de messagerie depuis différents appareils, tels qu’un smartphone, un ordinateur portable, une tablette, etc. POP est utilisé pour un accès unique par un appareil, car les e-mails sont téléchargés.
  2. Lors de l’accès au POP/IMAP, l’utilisateur a accès à l’onglet « Ajouter une adresse de transfert ». Comme son nom l’indique, il peut
  3. Ensuite, un code de confirmation numérique sera envoyé. Le problème est qu’il arrive à l’e-mail du tiers, auquel l’escroc a accès. C’était censé être un « verrou de sécurité » du processus de transfert, mais l’effet est inverse : celui qui entre par effraction dans le compte confirme l’escroquerie par le biais du code.
  4. Après confirmation, la section suivante, juste en dessous, permet à l’utilisateur d’envoyer une copie de chaque e-mail reçu, tandis que l’utilisateur en conserve un autre à l’adresse d’origine.
  5. En descendant la page, l’utilisateur aura la possibilité d’activer POP et IMAP. Vous devez cliquer sur le bouton « Activer POP pour tous les e-mails (même ceux qui ont déjà été téléchargés) ».
  6. Une fois

  7. tous les processus terminés, il vous suffit de cliquer sur Enregistrer les modifications.

Après l’enregistrement, tout e-mail qui arrive dans la boîte aux lettres est redirigé avec une copie vers l’autre adresse sélectionnée.

Leandro prévient que l’arnaque ne se produit que si quelqu’un a accès à votre messagerie personnelle ou professionnelle, mais souligne que ce n’est pas très difficile : il suffit qu’ils aient été divulgués sur Internet.

« Il n’est pas difficile d’entrer dans le courrier électronique de quelqu’un »

Le jeune homme qui a découvert la faille de sécurité affirme qu’il existe, par exemple, une méthode simple pour découvrir l’adresse e-mail et le mot de passe d’un utilisateur – un package complet préféré par tout attaquant et hacker. Leandro est sur le point de publier un livre sur les méthodes de sécurité et les failles, intitulé Hacking Without Programming.

Grâce à une plateforme, Leandro dit qu’il peut obtenir le courriel de quelqu’un dont les données ont été divulguées :

« Si vous examinez n’importe quel e-mail sur cette plateforme, vous pouvez même obtenir le mot de passe de la personne en .txt (format de fichier texte). Cela est encore plus dangereux si la personne utilise le même mot de passe pour plusieurs applications ou sites Web. La situation s’aggrave si l’authentification à deux facteurs (2FA) n’est pas présente. »

Site Web utilisé pour obtenir les informations e-mail et mot de passe des utilisateurs (Image : Reproduction/Leandro Duarte)

Selon Leandro, il est également possible d’obtenir ces données par SMS. Si une application sur le Google Play Store demande l’accès à l’application de messagerie texte par défaut d’une personne et qu’elle l’accepte, l’application peut télécharger les messages texte d’une personne dans le cloud. Directement au rendez-vous de ceux qui recherchent.

Cerise

sur le gâteau, c’est que pour les e-mails d’entreprise Workspace, l’utilisateur n’est pas averti si quelqu’un profite de la fonction « transférer ». Cela aggrave encore l’arnaque, car à moins que l’utilisateur ne désactive manuellement le partage, il ne remarque même pas le manque de sécurité.

Et Leandro met en garde : peu importe que l’utilisateur change d’appareil, change de réseau de connexion ou même de courrier électronique. Le partage restera actif.

Dans le test effectué par il a également essayé de changer le mot de passe pour empêcher le partage d’e-mails dans son propre domaine, mais cela n’a pas aidé : les messages ont continué à être envoyés au troisième compte après cette procédure.

Google dit que le bug présumé est une « fonctionnalité »

Leandro a contacté Google, comme nous l’avons déclaré au début de l’histoire. L’entreprise a même répondu au courriel du jeune homme, reconnaissant l’existence du bug. En anglais, un employé de l’entreprise a écrit :

« Bon travail ! J’ai rempli un rapport avec le bogue présenté dans votre message. Le panel vous évaluera lors de la prochaine réunion du panel VRP (Vulnerability Reporting Program) et nous vous informerons dès que nous aurons de nouvelles informations. Tout ce que vous pouvez faire maintenant, c’est attendre. »

Leandro a attendu. Google complète également le message d’avertissement indiquant que s’il n’y a pas de réponse dans les 2 à 3 semaines ou si vous disposez de plus d’informations sur la vulnérabilité, la société doit faire l’objet d’une nouvelle recherche. Mais il n’y a pas eu de retour.

Après avoir noté que le manque de sécurité concernant le transfert persistait dans Gmail, Leandro affirme avoir contacté un cadre de Google Brésil début 2021. Le haut responsable aurait déclaré dans des messages qu’il avait transmis le rapport de bogue au « service responsable ». Là encore, la panne n’a pas été corrigée.

Ce mercredi (22), Google est revenu à Leandro par le biais d’un nouvel e-mail. L’entreprise affirme qu’elle ne reconnaît pas le problème comme un bogue, mais comme une « fonctionnalité ». Le message complet est ci-dessous (traduit en portugais par

info) :

« Bonjour, Leandro.

« Nous aimerions que vous sachiez que nous en avons discuté avec l’équipe responsable de Gmail et que nous avons conclu que cette fonctionnalité pour Workspace serait bien d’être éventuellement implémentée pour les comptes clients. Nous ne suivrons donc pas le bogue comme une vulnérabilité, mais plutôt comme une demande d’implémentation d’une nouvelle fonctionnalité.

Merci pour votre rapport. »

Pour Leandro, le processus de « bug bounty » de Google était frustrant. « Il a fallu du mal à signaler le bug et à recevoir le prix. Et en plus de cela, ils ne l’ont pas corrigé », explique le jeune homme. Google a offert une récompense de 500$ pour avoir découvert la faille, ceci en 2019, ce qui signifie un prix final d’environ 2 000 R$. Pour avoir découvert une violation de données concernant l’Israélien Lusha, Leandro a gagné une prime de 8 000 R $.

Info a contacté Google Brazil et a demandé un avis sur cette affaire. Dans une note publiée ce mercredi, Google Brazil déclare :

« Nous avons créé notre programme Vulnerability Rewards spécifiquement pour identifier et corriger d’éventuels bogues de ce type. Nous apprécions la participation du chercheur et de la communauté de la sécurité dans son ensemble à ces programmes. Nous sommes en train d’enquêter

Laisser un commentaire