Billy (BK) Rios, expert en sécurité informatique, a dévoilé sur son blog, le mois d’Avril dernier, une faille de sécurité dans le service "Google document".
Cette faille de sécurité permet à une personne mal intentionnée d’intercepter le cookie dans le répertoire temporaire du navigateur.
Or, le cookie utilisé pour "Google Document" est valide pour tous les autres sous domaines de google, Gmail inclus. Une fois que ce fichier est intercepté par le pirate, ce dernier a toutes les données nécessaires pour accéder à vos données personnelles sur Google, notamment vos mails.
La faille de sécurité en question est possible via le XSS (Cross Site Scripting à ne pas confondre avec le CSS ) et peut être contournée en forçant la connexion sécurisée « https » aux différents services de Google qui nécessitent l’authentification.
L’établissement de la connexion sécurisée va chiffrer le transfert des fichiers ce qui va donner du pain sur la planche aux pirates pour « sniffer » ce fameux cookie.
Google, qui a été informé depuis Avril sur cette problématique, n’a réagi que le 24 juillet dernier en ajoutant une nouvelle option sur les comptes Gmail, appelée « Connexion au navigateur » dans laquelle on peut activer le protocole https.
Plus : Net
