nos newsletters
Abonnez-vous à Micro Hebdo : 4,90 €/mois
Abonnez-vous à l'Ordinateur Individuel : 3 €/mois
Abonnez-vous à la version digitale
Abonnez-vous à 01Business et Technologies : 19 €/mois
Google renforce la sécurité de ses comptes Gmail
Un expert a rendu publique une faille qui permet de pirater les comptes Gmail gratuits. Google propose une parade optionnelle. Les entreprises ayant ouvert des comptes payants sont protégées.
La série noire continue pour les comptes Gmail qui donnent accès aux services en ligne de Google, notamment les Google Apps. Après les
problèmes de disponibilité rencontrés ces dernières semaines, leur sécurité est aujourd'hui publiquement remise en
cause par les experts. Lors de la conférence de sécurité Defcon, qui s'est tenue la semaine dernière à Las Vegas, le chercheur américain Mike Perry a en effet dévoilé une faille du service d'authentification de Google qui permet de
pirater des comptes utilisateurs.
Le problème vient de ce que Google ne chiffre que la procédure d'authentification de ses utilisateurs en utilisant temporairement une connexion SSL (Secure Socket Layer ; l'adresse du site
commence alors par https).
Une fois l'authentification effectuée, la connexion n'est plus chiffrée. Un cookie (petit fichier texte) est placé dans le cache et sert de sésame pour accéder aux services de Google pendant
deux semaines ou jusqu'à ce que l'internaute demande la déconnexion de son compte (ce qui efface le cookie).
Selon Mike Perry, il est possible de récupérer ce cookie grâce à un outil automatisé de sa conception. ' La faille n'est pas nouvelle et le risque est limité car l'attaquant doit être
capable de modifier le trafic d'un utilisateur à la volée. Il doit donc se trouver sur le même segment réseau afin de réaliser au préalable une attaque man in the middle ', explique Raphaël Marichez, expert en sécurité au
sein de HSC Consultants. Les réseaux Wi-Fi publics sont théoriquement plus vulnérables à ce type d'attaque, qui nécessite de pouvoir s'intercaler sur le réseau.
Mike Perry prévoit de rendre public, au début du mois de septembre, l'outil qu'il a mis au point afin d'inciter Google et les autres sites qui utilisent cette méthode d'authentification (comme Amazon ou
Facebook) à réagir. Préalablement alerté, Google a discrètement ajouté une option à la fin du mois de juillet dernier permettant d'utiliser en permanence une liaison SSL pour accéder à ces services. Il suffit d'aller en bas de la
rubrique ' Général ' du menu ' Paramètres ' pour l'activer.
Le ' tout https ' représente une charge pour Google, pas pour les utilisateurs
' L'inconvénient de l'https est qu'il peut rendre votre messagerie plus lente. Votre ordinateur a un surcroît de travail avec le chiffrement des données et celles-ci ne voyagent pas aussi
rapidement sur Internet que des données non chiffrées. C'est pourquoi nous vous laissons le choix ', expliquent aujourd'hui les développeurs de Google sur leur blog dédié à la sécurité. Google préconise ainsi
l'activation du full https en priorité aux utilisateurs qui accèdent aux services Google par l'inermédiaire de hot spots Wi-Fi.
Pour Sylvain Roger, consultant en sécurité chez Solucom, ce discours est un peu biaisé. ' Le ralentissement s'observerait surtout si les utilisateurs basculaient tous en full https car
cela demanderait des investissements importants en infrastructure de la part de Google ', explique-t-il.
Jusqu'ici la possibilité de chiffrer toutes les connexions en SSL était réservée aux entreprises ayant souscrit un abonnement payant aux Google Apps (Edition Premier). Cap Gemini, qui
distribue les versions payantes de Google Apps, nous confirme d'ailleurs ne pas être affecté par la faille.
' Il est dommage que Google ait attendu la présentation de Mike Perry pour généraliser le full https aux versions gratuites de Google Apps ', résume Sylvain Roger.
envoyer
par mail
par mail
imprimer
l'article
l'article
option tout https
de
aideinfo
, posté le 22 aout 2008 à 10h58
il faut vous réveiller. L'option Toujours utiliser le https est dispo depuis plusieurs semaines sur Gmail.
alerter le modérateur
Pb de changement de compte
de
TLS
, posté le 22 aout 2008 à 11h07
Depuis quelques semaines aussi, je constate des blocages du navigateur au moment de changer de compte Gmail.
Est-ce lié au https, que j'ai activé sur chacun des comptes ?
Est-ce lié au https, que j'ai activé sur chacun des comptes ?
alerter le modérateur
Pb de changement de compte
de
rameurpl
, posté le 22 aout 2008 à 11h28
Bonjour.
J'ai activé la case "Tout https" et pas de problèmes en utilisant Firefox 3.
Je pense plutôt à un problème du côté du navigateur.
Quel navigateur utilises-tu ?
J'ai remarqué juste que c'était un poil plus long à charger (dépend aussi, je pense, du débit).
J'ai activé la case "Tout https" et pas de problèmes en utilisant Firefox 3.
Je pense plutôt à un problème du côté du navigateur.
Quel navigateur utilises-tu ?
J'ai remarqué juste que c'était un poil plus long à charger (dépend aussi, je pense, du débit).
alerter le modérateur
débat
Pb de changement de compte
posté le 22/08/08 à 11:28 par rameurpl
Pb de changement de compte
posté le 22/08/08 à 11:07 par TLS
option tout https
posté le 22/08/08 à 10:58 par aideinfo
à lire aussi
SUR LES MÊMES THÈMES 
Nos partenaires