Google a résolu de toute urgence un bogue Gmail après l'avoir retardé de plusieurs mois

Une grave faille d'usurpation d'identité a affecté le service Gmail de Google. Cependant, malgré la découverte et la divulgation responsable, le géant de la technologie a livré le correctif à seulement 7 heures de la divulgation publique.

Un bogue sérieux de Gmail a été découvert

La chercheuse en sécurité Allison Hussain a découvert un bug sérieux affectant Gmail.

Partageant les détails dans un message, elle a révélé qu'elle avait trouvé une vulnérabilité d'usurpation de courrier dans Gmail. Cependant, ce n'était pas similaire aux bogues précédents. Cela affectait généralement Google, permettant à un adversaire de contourner les contrôles de sécurité et d'envoyer des e-mails se faisant passer pour d'autres utilisateurs de Gmail ou G Suite.

Habituellement, les serveurs de messagerie utilisent deux techniques pour lutter contre la vulnérabilité d'usurpation d'identité: Sender Policy Framework (SPF) et Domain-based Message Authentication, Reporting and Compliance (DMARC).

Cependant, le bogue Gmail nouvellement découvert pourrait facilement contourner les règles SPF et DMARC.

Au début, le bogue permettait à un attaquant d'envoyer des e-mails falsifiés à une passerelle entrante sur le backend de G Suite. Alors que le deuxième bogue pourrait permettre de configurer des règles personnalisées pour transférer un e-mail usurpé entrant.

Décrivant les détails dans le message, le chercheur a déclaré:

Gmail ignore les vérifications SPF sur les adresses IP incluses dans la liste des adresses IP de la passerelle. Si une passerelle entrante est configurée, la vérification DMARC doit être effectuée par la passerelle entrante et sera ignorée pour les messages provenant des hôtes répertoriés.

En bref, le bogue a fonctionné en raison de deux facteurs: la validation du destinataire interrompue et une passerelle entrante. Ensemble, les deux ont permis au chercheur d'inciter le backend de Google à renvoyer un e-mail falsifié pour n'importe quel domaine.

La chercheuse a également partagé la preuve de concept de l'exploit dans son article.

Patch urgent déployé

La chercheuse a découvert la vulnérabilité pour la première fois en avril 2020, après quoi elle a contacté Google pour signaler le problème.

En réponse, Google a reconnu la vulnérabilité. Cependant, ils n’ont apporté de solution qu’en août. Lors du suivi, Google a informé le chercheur de publier le correctif en septembre 2020.

Néanmoins, alors que le chercheur a révélé publiquement la vulnérabilité et l'exploit PoC par son intermédiaire, Google a déployé le bogue dans les 7 heures.

Alors maintenant, cette vulnérabilité Gmail est corrigée et les clients n'ont rien à faire de leur côté.

Faites-nous part de vos réflexions dans les commentaires.

Les deux onglets suivants modifient le contenu ci-dessous.

Abeerah est une blogueuse passionnée depuis plusieurs années avec un intérêt particulier pour la science et la technologie. Elle est folle de tout savoir sur les derniers développements technologiques. Connaître et écrire sur la cybersécurité, le piratage informatique et l'espionnage l'a toujours enchantée. Quand elle n'écrit pas, quoi d'autre peut être un meilleur passe-temps que surfer sur le Web et rester à jour sur le monde de la technologie ! Contactez-moi à: [email protected]

Tags: ,