Une faille permettait d’usurper n’importe quelle adresse Gmail

Google vient de colmater une faille qui aurait pu faire des heureux chez les adeptes du spam et du phishing. En avril dernier, la chercheuse en sécurité Allison Husain a découvert qu’il était possible d’usurper l’identité de n’importe quelle adresse Gmail ou G Suite, tout en envoyant les messages frauduleux directement depuis l’infrastructure de Google. Pour la victime destinataire, ainsi que pour son fournisseur de service, il aurait été impossible de détecter l’arnaque. On imagine aisément l’immense potentiel de cette faille.

En effet, ce hack permettait de contourner les dispositifs de sécurité SPF (Sender Policy Framework) et DMARC (Domain-based Message Authentication, Reporting and Conformance). Ils sont implémentés par tous les opérateurs de messageries et permettent de filtrer les messages frauduleux en s’appuyant notamment sur des listes blanches référençant les domaines et les adresses IP des émetteurs. En effet, comme il n’y a aucun mécanisme d’authentification dans la technologie de l’e-mail, il est en réalité assez simple de modifier l’adresse de l’émetteur dans un message, et cela fait longtemps que les hackers en abusent. Modifier une adresse IP, en revanche, est difficile.

Pour évacuer ce problème, il suffisait de créer un compte G Suite bidon (relay@attacker.com) et de lui connecter une passerelle dédiée pour les messages entrants. Cette option, parfaitement autorisée par Google, déporte le contrôle SPF et DMARC sur cette passerelle. Résultat : en désactivant SPF et DMARC sur sa passerelle, l’attaquant pouvait envoyer des messages usurpés à son adresse bidon sans que les sentinelles de Google lèvent le petit doigt. Une seconde option de G Suite permettait ensuite de transférer l’e-mail vers le destinataire final, c’est-à-dire la victime que l’on veut tromper.

Bizarrement, Google a un peu traîné des pieds dans la gestion de cette faille. Au départ, celle-ci n’a pas été jugée très importante et 137 jours après la notification par Allison Hussain, elle n’était toujours pas corrigée. La chercheuse a donc décidé de publier tous les détails techniques dans une note de blog et, surprise, la faille a été supprimée dans les sept heures qui ont suivi. Petit rappel : Google lui-même ne concède qu’un délai de 90 jours quand il trouve une faille chez un éditeur tiers. L’attitude de Hussain était donc parfaitement responsable.

Mais ce retard à l’allumage est tout relatif. Chez Microsoft, il faut parfois attendre deux ans avant d’avoir un patch pour une faille, même quand elle exploitée de façon active par des pirates. Comparativement, les ingénieurs de Google ont donc plutôt fait du bon boulot.

01net.com

Share

Laisser un commentaire

Votre adresse e-mail ne sera pas publiée. Les champs obligatoires sont indiqués avec *