Les Google Gadgets vulnérables à une faille critique

Les risques sont nombreux, prévient un expert en sécurité

Le 6 août prochain lors des fameux Black Hat, Tom Strascener et Robert Hansen (connu sous le pseudo de RSnake), experts en sécurité, dévoileront une vulnérabilité critique zero-day touchant les désormais célèbres Google Gadgets.

Selon le spécialiste tchèque, « l’actuelle architecture de sécurité de ce service ne protège pas bien les utilisateurs de gadgets malveillants spécialement conçus ».Et d’ajouter :« les Google Gadgets peuvent permettre à un pirate distant de voler des informations, des données personnelles et posent des problèmes d’authentification ».

Concrètement, il serait assez aisé pour un hacker d’intégrer à peu près ce qu’il veut à un gadget comme un composant Flash ou HTML malveillant ou un script dangereux.

Le géant de Mountain View a été mis au courant de cette découverte mais refuse pour le moment de commenter. « Nous les avons alerté mais ils ont décidé de ne pas patcher, nous avons donc décidé de partager nos découvertes », explique Robert Hansen.

Cette annonce illustre une nouvelle fois la fragilité des services Web 2.0 et notamment des gadgets et autres widgets. Selon une étude de Finjan, certains de ces ‘widgets’ contiennent des morceaux de code malveillant et capables d’exploiter des vulnérabilités à distance.

« Les widgets sont de plus en plus utilisés. Du coup le problème de leur niveau de sécurité se pose de plus en plus souvent »explique Yuval Ben-Itzhak,CTO de Finjan. « Les failles de sécurité repérées permettent aux attaquants de prendre le contrôle des machines. Ces attaques peuvent avoir de dramatiques conséquences pour l’industrie. Les sociétés qui travaillent sur le Net doivent prendre en compte ce nouveau danger. « 

Les portails comme iGoogle, Live.com ou bien encore Yahoo offrent tous la possibilité de personnaliser sa page d’accueil avec à la clé l’utilisation de nombreux widgets/gadgets. La popularité grandissante de ces technologies 2.0 fait qu’elles sont de plus en plus prisées par les hackers dont le but est toujours de toucher un maximum d’internautes.