Google s'est décidé à corriger le bogue qui permet de falsifier l'identité de l'expéditeur
Sur la version Android de Gmail

Le , par Stéphane le calme

63PARTAGES

4  0 
Mise à jour du 18/11/2015 : Google s'est décidé à résoudre le problème d'identification avec son application Gmail sur Android

En fin octobre dernier, la chercheuse en sécurité Yan Zhu avait alerté Google à propos de la possibilité de changer l’adresse de l’expéditeur d’un message dans l’application de messagerie Gmail pour Android, pouvant permettre ainsi de tromper le destinataire sur l'identité de la personne qui le lui a envoyé. Si Google avait d’abord estimé qu’il ne s’agit pas là d’une vulnérabilité de sécurité, l’équipe de sécurité s’est finalement décidée à résoudre le problème : « Nous avons apprécié le rapport de la chercheuse et nous corrigeons le problème qu'elle a trouvé dans l'application Gmail pour Android », a indiqué un porte-parole de l’entreprise à MotherBoard, rajoutant que « notre relation rapprochée avec la communauté des chercheurs en sécurité nous aide à garder les utilisateurs à l'abri ».

Si Zhu a avancé qu’elle était heureuse que la faille soit finalement corrigée, elle n’a pas manqué d’exprimer sa consternation et sa déception dues au fait que Google n’ait pas compris quel était le problème lorsqu’elle l’a expliqué à ses équipes de sécurité « au moins trois fois, avec des captures d’écran » : « je ne veux pas dénigrer le travail de l'équipe de Google en matière de sécurité qui est difficile et elle doit sans doute être inondée de faux rapports », a-t-elle indiqué. « Cependant, le processus de rapport de bogue légitime a été beaucoup plus frustrant que ce à quoi je m'attendais ».

MotherBoard

La chercheuse en sécurité Yan Zhu a découvert une faille dans l’application de messagerie de Google Gmail sur la plateforme Android qui permet de modifier le nom de l’expéditeur d’un courriel, trompant ainsi les utilisateurs sur son identité.

Pour en tirer parti, il suffit de vous rendre dans vos paramètres de compte et d’y modifier votre nom, ce qui aura pour conséquence de cacher votre adresse mail légitime. Zhu a illustré ce problème avec la capture d’écran ci-dessous. La chercheuse indépendante à modifier son nom en yan ""security@google.com". Elle a expliqué à MotherBoard que « les guillemets supplémentaires déclenchent un bogue d’analyse dans l’application Gmail, ce qui fait en sorte que la vraie adresse mail n’est pas visible ».



Dans cet exemple, la chercheuse s’est fait passer pour un membre de l’équipe de sécurité de Google. Avec ce bogue, un attaquant est capable d’usurper une adresse mail de cette façon et faire apparaître son courriel piégé comme un courriel légitime, qu’il s’agisse de votre banque, d’un agent de prestation bien connu de la famille ou de vos amis, et rendre ainsi ses campagnes d’hameçonnage encore plus effectives.

Néanmoins, pour l’équipe de sécurité de Google, il ne s’agit pas là d’une vulnérabilité de sécurité, selon les captures d’écran des échanges entre la chercheuse et l’équipe à la grande surprise de la chercheuse qui a avancé, amusée, sur Twitter : « me servir d’un bogue Gmail Android qui me permet d’utiliser une adresse e-mail factice et ils disent qu’il ne s’agit pas là d’un problème de sécurité ».



Bien que cette vulnérabilité puisse être catégorisée parmi les vulnérabilités à faible risque étant donné qu’elle ne fonctionne qu’avec l’application de messagerie Gmail sur la plateforme Android, elle pourrait permettre à des attaquants d’élaborer des techniques d’hameçonnage bien plus perfectionnées, augmentant ainsi la probabilité qu’un utilisateur se fasse avoir. C’est le scénario que Zhu a présenté à Google lorsqu’elle a signalé ce bogue en privé.

Ce dernier pourrait ne pas avoir un correctif si la position de l’équipe de sécurité de Google sur la question demeure la même. Un certain nombre de personnes dans la communauté des chercheurs en sécurité ont décidé de tourner à la plaisanterie ce qu’elle pourrait faire suite à cette réponse. Par exemple, l’utilisateur Phred a estimé qu’elle pourrait « envoyer le courriel à Sergey ou Larry en leur expliquant qu’il s’agit d’un bogue prioritaire qui a besoin d’un correctif immédiatement. Problème résolu ».

La semaine dernière, l’entreprise a avancé que Gmail sera mis à jour dans le cadre d'un effort d’amélioration de la sécurité. Alors que le service de messagerie utilise déjà le protocole HTTPS par défaut pour chiffrer les connexions et met en œuvre un protocole appelé STARTTLS pour limiter au maximum les possibilités d’espionnage, Google a expliqué être en train de développer un outil qui sera chargé d’alerter les utilisateurs de Gmail lors de la réception d’un e-mail en provenance d’une liaison non cryptée. C’est-à-dire qu’il pourra détecter si un e-mail n’est pas passé par un protocole de communication sécurisée comme TLS. Cet outil devrait être disponible « dans les prochains mois ».

Source : MotherBoard, twitter Yan, twitter Phred

Voir Aussi :

Google prévoit une nouvelle mesure de sécurité lors de la réception d'e-mails en provenance de liaisons non sécurisées

Une erreur dans cette actualité ? Signalez-le nous !

Avatar de imikado
Rédacteur https://www.developpez.com
Le 17/11/2015 à 21:40
Pour info, n'importe qui peut envoyer un email de n'importe qui, le protocole de mail est un des moins sécurisé.

Par exemple, quand vous faites des sites web, ou autre batch vous définissez manuellement l'email de l'expediteur sans pour autant posséder le nom de domaine

Pas besoin de donner d'exemple, une simple recherche de mail et php vous donneront les détails d'appel
2  0 
Avatar de azias
Membre éclairé https://www.developpez.com
Le 20/11/2015 à 10:25
C'est curieux de vouloir considérer ça comme un bug de sécurité, un bug car ce n'est pas une fonctionnalité souhaitée de cette façon là ok, mais je ne vois pas où est le problème de sécurité.

Pouvoir choisir l'identité avec laquelle on envoie un mail indépendamment du serveur SMTP utilisé est une fonctionnalité présente dans beaucoup d'applications (Thunderbird et Outlook entre autres). Selon les serveurs smtp utilisés il y a parfois une vérification ou pas que le domaine de l'adresse mail de l’expéditeur corresponde, mais pas forcément. D'ailleurs ça se retrouve parfois dans la différence qu'on observe dans champ "From" ou "Sender" des entêtes d'email: chez Google par exemple quand on choisit de mettre une autre adresse d'expéditeur c'est ce que ça fait. La version payante de Gmail permet d'ailleurs de ne pas faire apparaître l'adresse gmail mais uniquement l’identité choisie.

En plus les destinataires ne regardent de toute façon pas l'email de expéditeur mais uniquement le nom affiché, ce qui est un champ encore plus libre.

Si on va dans ce sens là, ce sont les emails d'une façon général qui sont un bug de sécurité en eux-mêmes (ce qui ne serait pas complètement faux d'ailleurs).
1  0 
Avatar de MichaelREMY
Membre confirmé https://www.developpez.com
Le 20/11/2015 à 11:31
Citation Envoyé par miky55 Voir le message
Oui et non... On est en 2015 la plupart des serveurs mails verifient que les mails entrants ont bien été envoyé par le domaine en question en vérifiant l'origine SPD et la signature DKIM. Bref si tu t'amuses a envoyer un mail avec security@gmail.com en expediteur à une adresse gmail tu peut être sur qu'il sera classé en spam.
C'est curieux de vouloir considérer ça comme un bug de sécurité, un bug car ce n'est pas une fonctionnalité souhaitée de cette façon là ok, mais je ne vois pas où est le problème de sécurité.
n'oubliez pas que le plus grand serveur de courrier français ne vérifie toujours pas l'identité de l'émetteur lors d'un envoi d'un courrier qu'il soit simple ou en recommandé avec accusé de réception: laposte alors qu'il vérifie aléatoirement l'identité à la réception....
c'est triste de savoir que le phishing dans la vie réel est largement possible : par exemple allez dans un bureau de poste et envoyer un recommandé au nom de quelqu'un ou d'une entreprise.Bien sûr c'est illégal, mais la poste (la personne au guichet qui prend en main votre recommandé) ne vérifie pas votre carte d'identité.

je suis d'accord ce n'est pas un bug mais une erreur de procédure ou une légèreté de fonctionnalité trop ouverte.
Un bug fournit une erreur ou un résultat non attendu.
1  0 
Avatar de AoCannaille
Membre émérite https://www.developpez.com
Le 18/11/2015 à 16:17
Citation Envoyé par imikado Voir le message
Pour info, n'importe qui peut envoyer un email de n'importe qui, le protocole de mail est un des moins sécurisé.

Par exemple, quand vous faites des sites web, ou autre batch vous définissez manuellement l'email de l'expediteur sans pour autant posséder le nom de domaine

Pas besoin de donner d'exemple, une simple recherche de mail et php vous donneront les détails d'appel
Pour avoir développé un serveur SMTP, je peux effectivement confirmer ça. Le seul problème impliqué par cette usurpation est qu'on ne peux pas nous répondre.

Le client mail RoundCube permet de faire ça très facilement! J'envoit régulièrement pour quelques blagues des maisl au nom de chuck norris, du PDG de ma boite ou du Président
0  0 
Avatar de sebhoa
Futur Membre du Club https://www.developpez.com
Le 19/11/2015 à 5:36
Pour répondre aux deux précédents commentaires. Je ne suis pas un spécialiste de sécurité mais je suppose que ce qu'a trouvé la chercheuse va au-delà du simple changement de "expéditeur". Changement superficiel qui est vite détecté si on affiche les en-têtes longs. Non ?
0  0 
Avatar de yaraco
Membre habitué https://www.developpez.com
Le 19/11/2015 à 9:21
Il n'y a pas de changement superficiel. Un email est comme une lettre. Si j'écris sur ma carte postale que je suis Barack Obama, la poste ne vérifie pas que je suis bien Barack.
Pour valider une identité, il faut passer par une signature numérique.

D'où la réaction de Google : ce que permet de faire leur application, n'importe quel développeur peut déjà le faire.
0  2 
Avatar de javajordan
Futur Membre du Club https://www.developpez.com
Le 19/11/2015 à 10:25
je reçois toujours des mails venant soi disant de "moi" ...
donc le bug n est pas corrigé
0  0 
Avatar de MichaelREMY
Membre confirmé https://www.developpez.com
Le 19/11/2015 à 15:22
bonne nouvelle !

quelqu'un sait-il si depuis cette correction on peut enfin envoyer des vrais emails sous une identité différente de l'orthographe de l'email (envoyer sous "service technique" avec un email contact@monsite.com) sans être considéré comme un spam ? Le mois dernier ça ne fonctionnait toujours pas (considéré comme spam dans gmail dès le premier mail d'un nouveau domaine)
0  0 
Avatar de miky55
Membre averti https://www.developpez.com
Le 20/11/2015 à 0:35
Citation Envoyé par imikado Voir le message
Pour info, n'importe qui peut envoyer un email de n'importe qui, le protocole de mail est un des moins sécurisé.

Par exemple, quand vous faites des sites web, ou autre batch vous définissez manuellement l'email de l'expediteur sans pour autant posséder le nom de domaine

Pas besoin de donner d'exemple, une simple recherche de mail et php vous donneront les détails d'appel
Oui et non... On est en 2015 la plupart des serveurs mails verifient que les mails entrants ont bien été envoyé par le domaine en question en vérifiant l'origine SPD et la signature DKIM. Bref si tu t'amuses a envoyer un mail avec security@gmail.com en expediteur à une adresse gmail tu peut être sur qu'il sera classé en spam.

Ici le mail a beaucoup plus de chance de bypass le filtre anti spam puisque le bug ne se situe pas au niveau de l'envoie du mail, mais dans l'affichage du nom de l'expéditeur par le client. Cela dit le risque d'exploit est franchement minime puisqu'il ne concerne que le client mail Android et que les serveurs de Google classifiront en spam tout mail falsifiant le domaine d'origine...
0  0 
Avatar de secuexpert
Provisoirement toléré https://www.developpez.com
Le 05/04/2016 à 19:44
Citation Envoyé par imikado Voir le message
Pour info, n'importe qui peut envoyer un email de n'importe qui, le protocole de mail est un des moins sécurisé.
Plus précisément, il n'a pas été conçu pour interdire certaines choses.

Citation Envoyé par imikado Voir le message

Par exemple, quand vous faites des sites web, ou autre batch vous définissez manuellement l'email de l'expediteur sans pour autant posséder le nom de domaine
J'espère bien que je peux librement utiliser mon adresse email chez mon FAI sans posséder le domaine.

Il ne manquerait plus qu'on m'en empêche!
0  0 
Contacter le responsable de la rubrique Accueil

Partenaire : Hébergement Web