En
quelques jours, plus d'une dizaine de failles ont été découvertes dans
les services en ligne de Google. Des pirates pourraient s'en servir
pour dérober les données des utilisateurs.
Série
noire pour Google. En l'espace de quelques semaines, le moteur de
recherche a été épinglé une dizaine de fois pour des failles
découvertes dans plusieurs de ses services en ligne, sa messagerie
Gmail et Picasa. Ces vulnérabilités sont loin d'être anodines pour les
utilisateurs, puisqu'elles pourraient conduire au vol de leurs données
personnelles : courriers électroniques, pièces jointes, carnet
d'adresses, clichés privés, etc.
Elles
ont été mises à jour par des amateurs avertis, passionnés de micro ou
informaticiens. Ils les ont rendues publiques après en avoir informé
Google, qui assure travailler à colmater ces failles. En attendant, les
internautes sont à la merci des pirates ou même de bidouilleurs mal
intentionnés. Il leur est conseillé d'utiliser les outils Google avec
des pincettes, en limitant la mise en ligne de données sensibles.
Des animations flash piégées
La plus récente de ces vulnérabilités a été révélée le 26 septembre par
Billy (BK) Rios.
Cet
informaticien a montré qu'il était possible d'utiliser un simple objet
flash (bannière publicitaire, animation, vidéo...) pour intercepter la
totalité des données stockées par un utilisateur sur Gmail (courriels,
signets, carnet d'adresses...). Il propose même une démonstration de la
manoeuvre sur son blog.
Une autre faille a été découverte le 24 septembre par
Petko D.Petkov.
Ce
chercheur en sécurité informatique, à qui l'on doit déjà des
découvertes de vulnérabilités dans QuickTime ou encore dans le format
PDF, a révélé que les utilisateurs de Gmail pouvaient être piégés s'ils
cliquaient sur une adresse Internet bien particulière contenant un code
pirate. Ils risquent alors le détournement de tous leurs courriers
électroniques, pièces jointes comprises.
Il
y a quelques jours, Billy (BK) Rios, encore lui, épinglait cette
fois-ci Picasa. Selon lui, un pirate peut utiliser le logiciel de
partage de photos de Google pour mettre la main sur les clichés privés
d'un autre utilisateur du service. Il suffit de manipuler une adresse
(URI) du type « picasa:// ». La même menace plane sur le système de
vote Blogspot présent dans Gmail. En quelques clics, un pirate peut
transférer l'ensemble des courriels d'une victime vers son propre
compte.
« Impensable,
s'étonne Eric Romang, architecte réseau dans une importante société luxembourgeoise.
Et pourtant Google semble être tombé dans des travers informatiques
qu'il devrait maîtriser. »