Google corrige une méga-faille dans Google Desktop

La faille dans Google Desktop, qui expose les données personnelles des utilisateurs de la solution, a été révélée par Watchfire en fin d’année 2006. Elle permet à une personne malveillante, via des moyens divers comme un fichier vérolé attaché à un e-mail, de glisser un code pirate sur le poste de l’utilisateur.

Cette faille serait en réalité présente sur 80 % des applications web, dixit Watchfire, mais ne présenterait pas de danger particulier, sauf dans le cas de Google Dektop. Car la solution ne se contente pas d’indexer du contenu local, elle maintient un lien avec le web pour élargir sa recherche.

En fait, c’est le positionnement central du moteur de recherche locale qui est pointé par l’analyste de la sécurité, en indexant le contenu des disques durs, et même des postes placés sur un réseau, Google Desktop donne accès à des informations extrêmement sensibles.

Google vient finalement de combler la faille. Plusieurs semaines après avoir été informé de son existence ! Le moteur de recherche a justifié de ce délai en déclarant qu’il n’y a aucune preuve que la vulnérabilité ait été exploitée…

Un argument plutôt léger pour un éditeur dont l’application est présente sur des millions de postes dans le monde !

Et Watchfire de tirer la sonnette d’alarme : par le lien que Google Desktop entretient avec les données web, et qui connecte les données du poste de travail avec celles de l’Internet, « Il y a un fort potentiel pour que cela se reproduise« . Nous voilà avertis…