-
Une faille vient d'être corrigée dans Gmail, le webmail populaire de Google. Elle permettait à n'importe quel abonné au service de lire une partie du courrier des autres utilisateurs. Mais bien que l'affaire soit très médiatisée, la faille, elle, n'était finalement pas si sérieuse : telle une vaste loterie aux indiscrétions, il était impossible de prévoir quelles informations seraient dévoilées. De quoi néanmoins faire le bonheur des voyeurs.
Il suffisait d'envoyer un courrier malformé à sa propre adresse Gmail pour y découvrir, au petit bonheur la chance, des morceaux d'emails d'autres utilisateurs. Google a rapidement corrigé la vulnérabilité et, aussi amusant soit-il, le jeu n'est désormais plus possible.
L'affaire a été révélée par des utilisateurs américains alors qu'ils testaient le script d'envoi de leur newsletter. Buggé, le programme expédiait des courriers légérement non-standards, ce dont personne s'était aperçu jusqu'alors. Mais à la réception de leur newsletter sur un compte Gmail, cette dernière contenait non seulement leur propre courrier, mais aussi ceux de plusieurs autres utilisateurs du webmail !
Le fautif serait une mauvaise validation du champ 'From:' des emails. En omettant de fermer une balise, Gmail intégrait tout le contenu qu'il trouvait jusqu'à ce qu'il rencontre enfin une balise fermante, généralement dans le prochain mail correctement formé.
Bien sûr, puisqu'il est impossible de savoir quand la prochaine balise fermante apparaîtra dans un autre courrier, il n'était pas possible de cibler un utilisateur ou même un contenu particulier. Un pirate éventuel ne pouvait donc se fier qu'au hasard pour espérer découvrir des informations confidentielles. L'attaque n'était pas très efficace donc, même si le risque, lui, était bien réel. Les voyeurs, quant à eux, devaient être ravis !
Cela vous intéressera aussi