Google comble une faille sur Gmail
Google travaille actuellement à la correction d’une faille qui affecte les comptes Gmail de ses utilisateurs, et qui a été découverte par des experts en sécurité qui l’ont rendue publique.
Cette faille, dévoilée la semaine dernière lors de la conférence sur la sécurité DefCon par le chercheur Mike Perry, permet de tromper le service d’authentification du site et de s’approprier le compte de sa victime.
Un problème de cookie
Gmail n’est décidément pas dans un mois qui lui est propice. Cette fois, il s’agit du système d’identification du service qui est victime d’une faille critique de sécurité, alors que le site sort à peine de quelques soucis importants d’accessibilité sur ses serveurs (voir Gmail : panne du service). Cette faille vient du fait que l’authentification n’est chiffrée qu’à la première connexion de l’utilisateur. Ensuite, un cookie stocké dans le navigateur Web remplace cette identification pendant deux semaines, ou jusqu’à ce que l’utilisateur se déconnecte. Ainsi, ces connexions en utilisant le fameux cookie ne sont pas chiffrées, et Mike Perry a trouvé le moyen de trouver les identifiants d’un internaute à partir de la transmission de ce cookie, du navigateur vers le site.
En réaction, Google travaille sur des solutions fiables pour empêcher une fuite des mots de passe de ses utilisateurs. Ainsi, le site propose désormais une option à confirmer soi-même dans les options, qui consiste à forcer une connexion chiffrée en permanence, rendant impossible le vol d’informations. Un correctifMise à jour d’un logiciel qui prend la forme d’un fichier de petite taille facile à télécharger. Un patch concerne généralement un domaine bien délimi... plus efficace devrait être créé par Google, pour qui l’utilisation de connexions chiffrées en permanence représente une charge importante. Selon Mike Perry, Google n’est pas seul à utiliser cette méthode, et des sites comme Amazon ou Facebook pourraient représenter le même danger. Enfin, il est à noter que les entreprises qui ont souscrit à un compte payant ne sont pas affectées par une telle faille.
- Orange recrute en remboursant les frais de résiliation
- Mozilla publie les résultats du concours Firefox 3
- Regardez-vous 100 vidéos par mois sur Internet ?
- Les Freenautes victimes (encore) de phishing
- Songbird passe en version bêta
- ManyCam, NetStumbler, EasyPHP...
- Microsoft Photosynth et vos photos prennent vie
- Apprendre la guitare avec Songsterr
- eBay recadre les vendeurs pro
- Keytouch, PicLens, Scribus...
- Games Convention : Tom's Games vous dit tout
- Le Top 10 de l'info high-tech et Internet cette semaine
- Dernière chance de gagner une Xbox 360 Elite !
- Une semaine d'actualité PC à la Games Convention 08
- Une semaine d'actualité Consoles à la Games Convention 08
- Elections US : Joe Biden est un allié de la RIAA
- Stratégie : Canal + fait tout pour contrer Orange
- Dartybox : deux mois gratuits pour l'achat d'un PC
- Elisez miss nonne 2008
Menfin, c'est une messagerie gratuite pas un compte bancaire... Pour des emails important t'as ton FAI normalement... Déjà plus dur à pirater comme compte email !
personnellement, j'ai plus confiance en google pour mes mails qu'en mon FAI ... et ce, quelque soit le FAI ...
C'est une faille connu depuis un bout de temp, c'est bien qu'elle soit mi o grand jour.
Pour limiter les intrusions,
utiliser l'option « Général » du menu « Paramètres » pour l'activer
Connexion au navigateur:
Toujours utiliser le protocole https
en attendant un patch.
Deja je n'ai pas ete perturbé le moins du monde par un quelconque arret du service, mais si cette soit disante faille se corrige aussi simplement, ben c'est parfait ... Quand à la blague du FAI ... ben j'espere que c'est une blague.
Menfin, c'est une messagerie gratuite pas un compte bancaire... Pour des emails important t'as ton FAI normalement... Déjà plus dur à pirater comme compte email !
Tous mes mails importants sur GMail, c'est la seule adresse que j'utilise autrement que pour du spam... ça veut donc dire que mon compte PayPal lui est lié et tous mes comptes sur les forums/sites/sites de vente.
passez à hotmail, c'est plus fiable ; plus d'expérience fait la différence ...
Euh, c'est une blague ?
Je suis justement passé recemment de hotmail à gmail, et je ne regrete pas du tout ce choix, bien au contraire.
D'autre part, il est assez connu que les comptes hotmail sont facilement piratables, et ils sont de ce fait fortement déconseillés comme identifiants pour les jeux en ligne, où la pluspart des vols de comptes passent par hotmail...
Pour les utilisateurs de FireFox le plugin Better Gmail permet de forcer la connexion HTTPS à chaque fois via une option. De plus ce plugin propose plusieurs thèmes pour Gmail pour le rendre plus esthétique :-)
Pas besoin de plugin si c'est juste pour le SSL/HTTPS, le réglage des préférences le fait aussi.