Un e-mail de Google révèle une vulnérabilité, Microsoft, Yahoo! et Google réagissent

0
77

Google, Microsoft et Yahoo! ont corrigé une vulnérabilité au sein de leur messagerie. Cette dernière permettait à un hacker d’usurper un message en trompant le mécanisme de vérification.

C’est un mathématicien américain, Zachary Harris, qui a mis le doigt sur une faille de sécurité permettant de se faire passer pour le faux expéditeur d’un courrier électronique en recevant un e-mail d’un chasseur de tête de Google.

Intrigué par cet email, il a entrepris de l’analyser et a découvert que Google utilisait une signature chiffrée en 512 bits pouvant facilement être falsifiée. Le magazine Wired rapporte les propos de M. Harris lequel explique : « je trouvais ça marrant, je voulais vraiment résoudre cet énigme et prouver que je pouvais le faire ». Il a donc envoyé directement un e-mail aux deux fondateurs de Google Larry Page et Sergey Brin en leur expliquant ses découvertes.

« Je peux faire une signature en 384 bits sur mon ordinateur portable en 24 heures», explique Zachary Harris en ajoutant qu’il est possible d’en faire une de 512 bits en 72 heures en utilisant les serveurs d’Amazon Web Services moyennant 75 dollars. Deux jours après l’envoi de son message, Google avait opté pour des signatures chiffrées en 2048 bits.

En explorant d’autres sites web, Zachary s’est aperçu que des sociétés telles que PayPal, Yahoo, Amazon, eBay, Apple, Dell, LinkedIn ou encore Twitter étaient concernées par le même problème de sécurité qui peut être utilisé lors de fraude utilisant la technique du phishing (hameçonnage). Au fil des mois, la vulnérabilité a été corrigée par les firmes concernées, que Zachary Harris a pris soin de contacter. Mais, celle-ci n’est pas connue de tous. C’est pourquoi il a décidé de la rendre publique.

Yahoo! et Microsoft ont également corrigé cette vulnérabilité.