Il y a maintenant quelques jours, un mathématicien, nommé Zachary Harris, a réussi à dénicher une petite faille de sécurité dans le service de messagerie Google.
Pour la petite histoire, non content d’avoir reçu une réponse négative (ndlr : ceci est une supposition au vu de la suite de l’histoire) de la part du recruteur de chez Google, Zachary s’est empressé d’analyser l’email de réponse et c’est à ce moment qu’il y découvrit une faille de sécurité.
En effet, après une analyse du service mail de Google et plus précisément du service de chiffrement et d’identification des mails, nommé DKIM, ou pour les intimes DomainKeys Identifed Mail, Zachary Harris a alors trouvé que ce service d’identification était faiblement sécurisé.
Le DKIM est une norme d’authentification du nom de domaine de l’expéditeur d’un courrier électronique. Cet outil fonctionne grâce à une signature cryptographique du corps de message et d’une partie de ses en-têtes (source : Wikipedia). Toutefois ce cryptage parait vulnérable et faible, puisque le cryptage s’effectue en 512bits.
Cette petite faille permettrait au plus grand des spammers ou autres pirates désireux de faire du phishing de faire passer leurs faux emails pour ceux des compagnies concernés.
Une petite faille qui ouvre donc une immense voie aux spammers et compromet ainsi les plus grands services de messagerie. En effet, la faille a été trouvée sur le service de Google, mais d’autres services Web comme Yahoo, Apple, PayPal, Amazon, eBay et bien d’autres.
MAJ : Microsoft, Yahoo et Google ont annoncé avoir supprimé et renforcé leurs sécurités concernant l’authentification des mails.
Source : The Verge
Rejoignez-nous de 17 à 19h, un jeudi sur deux, pour l’émission UNLOCK produite par Frandroid et Numerama ! Actus tech, interviews, astuces et analyses… On se retrouve en direct sur Twitch ou en rediffusion sur YouTube !
On se le demande! Du coup, je vais créer un site de cuisine qui ne parlera que d'huile... de moteur et de cylindrées!
Rien n'est faux, bien au contraire. Et pour cette partie-là, cela s'appelle de l'ironie.
Vous avez tout faux : "Ce qu'il fallait Googler"
ça, c'est comme ces ******** chez univers-freebox qui ôsent écrire des articles aussi sur les concurrents de free... mais ou va le monde... (-_-#)
tu remarquera (ou pas) qu'ils ne font que relayer l'information qui a été mise en ligne par the verge, de plus, si t'avait lu jusqu'au bout, t'aurai pu voir "Microsoft, Yahoo et Google ont annoncé avoir supprimé et renforcé leurs sécurités concernant l’authentification des mails."
CEUX qu'il fallait gruger ;)
oui mais alors pourquoi en parlé !!!
J'ai l'impression qu'on ne peut plus parler de rien d'autre que de smartphones Android. C'est lourd à force ce genre de commentaire.
Je ne savais pas qu'Apple était une filiale de Google. :D (juste comme ça, au passage, certains articles de Frandroid parlent uniquement d'Ios/Apple, ce qui invalide ton paragraphe). D'autant que cqfg, c'est sûrement pour "ce qu'il fallait gruger" ;-)
Android appartient à Google. Gmail appartient à Google. Frandroid parle de tout ce qui concerne Google. CQFG.
Et sinon, quel intérêt voyez-vous à publier ce type de news sur Frandroïd ? (le rapport avec Android ?) A part peut être faire dans la news "sensationnelle" comme tout bon Voici ou Gala ?
En lisant l'article jusqu'au bout il y a un "MAJ" en gras, indiquant que c'est corrigé...
L'article de Frandroid laisse supposer que le problème est toujours présent alors que le correctif a été appliqué par Google depuis longtemps. Tant qu'à citer une autre article, peut-être mettre toute l'information pertinente?
Très précisément, la citation du mathématicien (en tout cas, c'est explicité comme tel dans l'article) est : "But the government of Iran probably could, or a large group with sufficient computing resources could pull it off".
Etrangère à la France, comme le Lichtenstein, ou Saint-Marin.
Je voudrais savoir qu'est ce qui se cache derrière le terme "une puissance étrangère"? Désolé mais je ne comprends pas -_-
J'allais écrire sensiblement la même chose. Je précise que ce n'est effectivement pas Gmail qui est vulnérable mais la messagerie du domaine Google. Personne n'a répondu à son annonce de vulnérabilité, mais quelques jours plus tard la taille de la clé est passée à 2048 bits ce qui lui a permis d'écarter l'hypothèse d'un test d'embauche. Lors de ses recherches d'autres domaines vulnérables il s'est aperçu qu'il y avait des utilisations de clé de 384, 512, 768 bits qui sont factorisables respectivement par son PC perso en 24h, un cloud type Amazon en 72h et une puissance étrangère.
Il y a plusieurs erreurs dans l'article, c'est un recruteur qui a contacté Zachary Harris et non l'inverse et lorsqu'il avait reçu le mail en voyant que la sécurité était faible il pensait que ceci était 1 épreuve de recrutement de google. Du coup il avait envoyé un mail a Larry P en se fessant passé pour Sergey B Et sinon la faille n'est pas vraiment dans gmail vu qu'il s'agit d'un protocole d'identification de domaine de mail. Et surtout qu'il avait remarqué tous les service web cité mais aussi HSBC. Mais il parle aussi le fait que même un cryptage 1024 peut être hacker avec un peu de moyen financier (en ayant recours a du cloud d'amazon par ex), et qu'un état peu scrupuleux peut facilement y arriver ! Pour ceux qui sont anglophone l'article original : http://www.wired.com/threatlevel/2012/10/dkim-vulnerability-widespread/all/
Ce contenu est bloqué car vous n'avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Disqus.
Pour pouvoir le visualiser, vous devez accepter l'usage étant opéré par Disqus avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l'amélioration des produits d'Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l'audience de ce site (en savoir plus)
En cliquant sur « J’accepte tout », vous consentez aux finalités susmentionnées pour l’ensemble des cookies et autres traceurs déposés par Humanoid et ses partenaires.
Vous gardez la possibilité de retirer votre consentement à tout moment. Pour plus d’informations, nous vous invitons à prendre connaissance de notre Politique cookies.
Gérer mes choix