 |
Emploi
|
|
Start-up
|
|
Evénements 01 | |
Avis d'expert | |
Vidéos | |
Indicateurs
|
|
Distribution
|
|
Telecharger Pro
|
|
Livres blancs | |||||||||||||||||||||
Google renforce la sécurité de ses comptes Gmail
par mail
l'article
La série noire continue pour les comptes Gmail qui donnent accès aux services en ligne de Google, notamment les Google Apps. Après les problèmes de disponibilité rencontrés ces dernières semaines, leur sécurité est aujourd’hui publiquement remise en cause par les experts. Lors de la conférence de sécurité Defcon, qui s’est tenue la semaine dernière à Las Vegas, le chercheur américain Mike Perry a en effet dévoilé une faille du service d’authentification de Google qui permet de pirater des comptes utilisateurs.
Le problème vient de ce que Google ne chiffre que la procédure d’authentification de ses utilisateurs en utilisant temporairement une connexion SSL (Secure Socket Layer ; l’adresse du site commence alors par https).
Une fois l’authentification effectuée, la connexion n’est plus chiffrée. Un cookie (petit fichier texte) est placé dans le cache et sert de sésame pour accéder aux services de Google pendant deux semaines ou jusqu’à ce que l’internaute demande la déconnexion de son compte (ce qui efface le cookie).
Selon Mike Perry, il est possible de récupérer ce cookie grâce à un outil automatisé de sa conception. “ La faille n’est pas nouvelle et le risque est limité car l'attaquant doit être capable de modifier le trafic d'un utilisateur à la volée. Il doit donc se trouver sur le même segment réseau afin de réaliser au préalable une attaque man in the middle ”, explique Raphaël Marichez, expert en sécurité au sein de HSC Consultants. Les réseaux Wi-Fi publics sont théoriquement plus vulnérables à ce type d’attaque, qui nécessite de pouvoir s’intercaler sur le réseau.
Mike Perry prévoit de rendre public, au début du mois de septembre, l’outil qu’il a mis au point afin d’inciter Google et les autres sites qui utilisent cette méthode d’authentification (comme Amazon ou Facebook) à réagir. Préalablement alerté, Google a discrètement ajouté une option à la fin du mois de juillet dernier permettant d’utiliser en permanence une liaison SSL pour accéder à ces services. Il suffit d’aller en bas de la rubrique “ Général ” du menu “ Paramètres ” pour l’activer.
Le “ tout https ” représente une charge pour Google, pas pour les utilisateurs
“ L’inconvénient de l’https est qu’il peut rendre votre messagerie plus lente. Votre ordinateur a un surcroît de travail avec le chiffrement des données et celles-ci ne voyagent pas aussi rapidement sur Internet que des données non chiffrées. C’est pourquoi nous vous laissons le choix ”, expliquent aujourd’hui les développeurs de Google sur leur blog dédié à la sécurité. Google préconise ainsi l’activation du full https en priorité aux utilisateurs qui accèdent aux services Google par l'inermédiaire de hot spots Wi-Fi.
Pour Sylvain Roger, consultant en sécurité chez Solucom, ce discours est un peu biaisé. “ Le ralentissement s’observerait surtout si les utilisateurs basculaient tous en full https car cela demanderait des investissements importants en infrastructure de la part de Google ”, explique-t-il.
Jusqu’ici la possibilité de chiffrer toutes les connexions en SSL était réservée aux entreprises ayant souscrit un abonnement payant aux Google Apps (Edition Premier). Cap Gemini, qui distribue les versions payantes de Google Apps, nous confirme d’ailleurs ne pas être affecté par la faille. “ Il est dommage que Google ait attendu la présentation de Mike Perry pour généraliser le full https aux versions gratuites de Google Apps ”, résume Sylvain Roger.
sommaire
01net. - 01men - RMC - BFM Radio - BFM TV - La Tribune - TousLesPodcasts - 01informatique.fr - Association RMC-BFM
