Developpez.com

Une très vaste base de connaissances en informatique avec
plus de 100 FAQ et 10 000 réponses à vos questions

Google renforce la sécurité de son système d'authentification OAuth
Pour prévenir la survenue d'attaques de phishing

Le , par Christian Olivier, Rédacteur
Au cours du début du mois de mai 2017, Google Docs a été victime d’une vaste campagne de phishing destinée à piéger les utilisateurs de Gmail. Des messages électroniques frauduleux ont circulé pendant quelques heures avant que Google n’arrive à les stopper. Les internautes recevaient un email trompeur contenant un lien vers un document supposé être hébergé sur Google Docs. En réalité, ce lien pointait vers une application Web tierce malicieuse nommée « Google Docs », et était exploité par des pirates pour prendre le contrôle des emails et des listes de contact des victimes. Pour pousser les utilisateurs à cliquer sur le lien, un bouton bleu affichant « Open in Docs » avait été placé dans l’email.

Google a estimé que seulement 0,1 % des comptes utilisateurs gérés par l’entreprise avaient été affectés par cette attaque. À la suite de cet incident, la société avait décidé de procéder au renforcement des dispositifs de sécurité sur sa plateforme en ligne.

Pour prévenir la survenue de nouvelles attaques de phishing aussi massives que la dernière et les effets négatifs qui y sont généralement associés, Google a ajouté un ensemble de fonctionnalités aux options de sécurité de son système d’authentification OAuth. Il faut rappeler que ce système est utilisé pour lier des applications tierces avec les comptes Google. La firme de Mountain View a mis en place une fenêtre qui s’active et se positionne au premier plan pour transmettre des messages d’alerte permettant d’avertir l’utilisateur que l’application tierce qu’il s’apprête à utiliser n’est pas vérifiée et pourrait constituer un risque plus ou moins important pour l’intégrité et la sécurité des données liées à son compte.

Ce message d’alerte s’activant lorsqu’une « application non vérifiée » est détectée s’affichera au-dessus de toute nouvelle application Web qui tentera de collecter les informations du compte d’utilisateur Google d’un internaute. Le nouveau procédé permettra d’aider l’internaute à distinguer les applications vérifiées des applications malveillantes qui prétendent être légitimes. Cet avertissement précède l’écran de consentement des autorisations et informe l’utilisateur que l’application en question n’a pas encore validé le processus de vérification de Google.

Une option permettant à l’utilisateur d’autoriser la collecte de ses informations de connexion par l'application non vérifiée concernée est disponible. Il peut la sélectionner après la confirmation qu'il a bien pris connaissance des dangers liés à cette autorisation. Le développeur d’une application, pour sa part, pourra supprimer l’affichage de ce message d’alerte au-dessus de son application, en complétant le processus de vérification de son application par les services recommandés de Google.

La société technologique Google a également déclaré qu’elle comptait ajouter ces avertissements à ses scripts d’applications afin d’exploiter le potentiel des macros et des add-ons personnalisés dans ses applications de productivité, comme Google Docs. Certaines applications existantes devront aussi passer par le même processus de vérification que les nouvelles applications.

« Ces nouveaux messages de signalisation informeront automatiquement les utilisateurs des risques potentiels encourus. Ce système d’alerte devrait leur permettre de prendre des décisions éclairées afin de garder leurs informations en sécurité et de faciliter le test et le développement d’applications par les développeurs », a déclaré Google.

Le tableau suivant présente les différents cas de figure qui pourraient conduire à l’affichage de l’écran d’application non vérifié (les marques rouges indiquant le cas d'une « application non vérifiée » et les marques vertes le cas d'une « application vérifiée »)  :

Source : Google, Support Google

Et vous ?

Qu'en pensez-vous ?

Croyez-vous que cette mesure soit suffisante pour empêcher une nouvelle attaque massive de phishing de Google Docs ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de John Bournet John Bournet - Membre habitué https://www.developpez.com
le 19/07/2017 à 11:39
C'est une bonne chose que Google fasse le maximum pour protéger ses utilisateurs contre le phishing.

Seulement, petite précision technique : OAuth n'est pas un protocole d'authentification, sa spécification ne couvre que le champs des autorisations. (cf https://tools.ietf.org/html/rfc6749#section-3.1 )
Offres d'emploi IT
Analyste développeur (H/F)
AGENCE SUPPLAY - Alsace - Haguenau (67500)
Ingénieur C++ Qt5 - Montpellier(H/F)
Conserto - Languedoc Roussillon - Montpellier (34000)
Consultants et Senior Consultants SAP H/F
CSC - Ile de France - La Défense

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil