IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)

Vous êtes nouveau sur Developpez.com ? Créez votre compte ou connectez-vous afin de pouvoir participer !

Vous devez avoir un compte Developpez.com et être connecté pour pouvoir participer aux discussions.

Vous n'avez pas encore de compte Developpez.com ? Créez-en un en quelques instants, c'est entièrement gratuit !

Si vous disposez déjà d'un compte et qu'il est bien activé, connectez-vous à l'aide du formulaire ci-dessous.

Identifiez-vous
Identifiant
Mot de passe
Mot de passe oublié ?
Créer un compte

L'inscription est gratuite et ne vous prendra que quelques instants !

Je m'inscris !

L'historique Web de Google vulnérable au détournement de sessions
Au moyen d'une variante de l'extension Firesheep

Le , par Idelways

33PARTAGES

4  0 
Google qui s'érige souvent en donneur de leçon en ce qui concerne la sécurisation du Web, donnerait lui aussi le mauvais exemple sur certains de ses services.

C'est en tout cas ce que démontrent deux chercheurs d'Alcatel-Lucent Bell Labs en réussissant à détourner des données personnelles sensibles des comptes Google, moyennant une variante de l'extension Firesheep du navigateur Firefox, connecté au même réseau Wi-Fi.

Ainsi, il s'avère que l’historique Web polémique lié aux comptes Google peut être consulté sans connexion HTTPS.
En plus de pouvoir retrouver une grande partie des recherches de l'utilisateur, leurs fréquences et dates ainsi que les sites qu'il a choisi de consulter, tout le carnet d'adresses Gmail serait pareillement exposé.

D'après les chercheurs Vincent Toubiana et Vincent Verdot derrière cet exploit, l'intégrité des comptes Google ne peut être compromise. Il s'agit donc heureusement d'un problème marginal signalé aux ingénieurs de Google, qui travaillent actuellement sur un correctif.

Firesheep avait pour rappel contribué à la médiatisation du débat sur la nécessité de passer tous les services sous identification aux connexions SSL forcées, en mettant à la disposition du grand public un outil de détournement de comptes Facebook, Twitter et autres, très... convivial.

La nouvelle variante intercepte le « SID » (identifiant de session) et les cookies que Google utilise pour personnaliser et optimiser ses résultats de recherche en fonction des recherches passées de l'utilisateur. En un clin d'oeil, le nom du compte apparaît sur la barre latérale de Firesheep permettant d'extraire jusqu'à 40 % en moyenne des liens consultés.

De quoi dresser un portrait très précis sur les préférences et les activités des victimes potentielles.

Google minimise la gravité de cette découverte dans une déclaration à la presse, en qualifiant les inquiétudes soulevées par les deux chercheurs d'« assez académiques, et ne représentant pas un risque important pour les utilisateurs ».

Source : Rapport de Vincent Toubiana et Vincent Verdot

Et vous ?

Qu'en pensez-vous ?

Une erreur dans cette actualité ? Signalez-nous-la !

Avatar de cs_ntd
Membre éprouvé https://www.developpez.com
Le 09/09/2011 à 16:44
Citation Envoyé par Freem Voir le message
(pour m'amuser, j'ai d'ailleurs regardé un truc, en testant plusieurs moteurs, je n'en ai trouvé qu'un qui supporte le https pour les recherches... et ce n'est pas l'un des plus célèbres (ni google, ni bing, ni yahoo, ni ask). Je pense pas que la vie privée importe beaucoup à leurs yeux, autrement dit.)
https://encrypted.google.com/

Citation Envoyé par Freem Voir le message
De toute façon, que 40% seulement de la vie privée d'une personne ce n'est rien, ils ont d'ailleurs toujours dis qu'ils considèrent que ceux qui n'ont rien à se reprocher n'ont pas besoin de vie privée!
Donc on laisse sur les serveurs Google nos mails, contacts, historiques, documents, photos et autres, et on reproche ensuite à Google d'y avoir accès...
A ma connaissance, les informations que j'ai laissé dans mes comptes Google n'ont jamais filtré à l'exterieur...
3  0 
Avatar de Flaburgan
Modérateur https://www.developpez.com
Le 09/09/2011 à 17:09
Add-on Httpseverywhere pour Firefox.
Je suis donc toujours par défaut sur la version encryptée de google.
1  0 
Avatar de Freem
Membre émérite https://www.developpez.com
Le 09/09/2011 à 16:06
J'en pense que c'est un soufflet assez intéressant qu'ils se prennent la, s'ils sont effectivement aussi embêtants que le dit l'article sur ce point chez leurs concurrents

De toute façon, que 40% seulement de la vie privée d'une personne ce n'est rien, ils ont d'ailleurs toujours dis qu'ils considèrent que ceux qui n'ont rien à se reprocher n'ont pas besoin de vie privée!

(pour m'amuser, j'ai d'ailleurs regardé un truc, en testant plusieurs moteurs, je n'en ai trouvé qu'un qui supporte le https pour les recherches... et ce n'est pas l'un des plus célèbres (ni google, ni bing, ni yahoo, ni ask). Je pense pas que la vie privée importe beaucoup à leurs yeux, autrement dit.)
1  2