Gmail pourvoyeur de spam?

Google a rapidement corrigé une faille critique de Google qui aurait pu transformer les utilisateurs du webmail en pourvoyeurs de spam.

Gmail, le service de messagerie phare de Google, a connu une faille critique récemment. TechCrunch a signalé ce bug dommageable dès le 20 novembre alors qu’un individu surnommé Vahe G. avait créé un site pour exploiter cette vulnérabilité. Cependant, le visiteur du site était affecté uniquement si la session Gmail était active. A priori, la vulnérabilité était également exploitée au cas où un utilisateur se servait ou non du mode Incognito (navigation sans laisser de traces) du navigateur Chrome. Google a rapidement corrigé le problème. Une mise à jour transparente pour l’utilisateur.

« Nous avons rapidement résolu le souci qui portait sur les API de scripts disponibles sur Google Apps. La faille pouvait enclencher l’envoi sauvage d’e-mails lorsque les internautes visitaient un site affecté par le biais d’une session Gmail, a déclaré un porte-parole de Google à nos confrères de eWeek.co.uk. Nous avons immédiatement retiré le site qui servait de démonstration. »

Selon Graham Cluley, Consultant senior pour l’éditeur de solutions de sécurité Sophos, cette faille représentait du pain béni pour les spammeurs. « Bien que cet exploitation [de la faille] ait été monté pour réaliser des petits méfaits, des pirates plus malicieux auraient pu exploiter cette faille pour lancer des opérations d’envoi massif d’e-mails avec des pseudo-propositions alléchantes que l’on rencontre fréquemment. Elle pouvait également servir de levier pour diffuser des agents malveillants ou pour lancer une attaque par phishing, écrit-il dans un billet daté du 21 novembre. Les utilisateurs seraient tentés de cliquer sur le lien s’ils s’aperçoivent que cela provient de Google, quitte à compromettre leurs données personnelles ».

Pour l’expert en sécurité IT, le verdict est clair : « Cette faille était un trou sérieux dans la sécurité. Alors que les internautes veulent se fier à des webmails avec une boîte de réception fiable et un filtrage des e-mails entrants approprié. » Récemment, Google a réactualisé son programme de récompenses des développeurs signalant des failles critiques directement à la division sécurité de la firme.