Discussion :

[Stéphane le calme]

Un hacker détourne les appels destinés aux services secrets via Google Maps,
en créant de fausses fiches sur la carte interactive

Bryan Seely, un ingénieur réseau, a récemment démontré qu’il était possible d’intercepter des appels en créant de fausses fiches en rapport avec des lieux sur la carte interactive Google Maps. Pour étayer ses dires par un exemple, il a créé de fausses fiches relatives à un bureau du FBI à San Francisco et un autre des services secrets à Washington D.C.

Si la fiche donne des informations correctes, en revanche le numéro de téléphone renseigné n’est plus le bon et vous envoie directement ... sur son téléphone. Phénomène plus curieux encore la fiche trafiquée sort parmi les meilleurs résultats de recherche retournés. Le hacker explique qu’il est alors relativement simple de rediriger l’appel vers les véritables bureaux et d’écouter voire enregistrer la conversation.

«Qui va y réfléchir à deux fois sur les publications de Google sur son application Plans ? Tout le monde fait implicitement confiance à Google, c’est complètement injustifié et tout à fait dangereux. Je pourrais faire un duplicata de la Maison Blanche et prendre tous les appels téléphoniques entrants de la Maison Blanche. Je pourrais le faire pour chaque sénateur, chaque membre du Congrès, chaque maire, chaque gouverneur, chaque candidat républicain démocratique. Chaque bureau.» Explique-t-il.

Pour construire ses fausses localisations des bureaux gouvernementaux, Seely a commencé avec l’outil Map Maker de Google puis est passé à Google Places, qui est purement pour les entreprises et a simplement mis à jour ses « normes de qualité » puis à modifier la liste dans la phase finale. Il a utilisé avec de nouvelles adresses IP et de nouveaux comptes Gmail. Ensuite, Google vous donne deux options pour vérifier si vous n’êtes pas un automate, a expliqué Seely. Il est demandé alors soit d’entrer un code soit de faire vérifier son numéro de téléphone. Seely a utilisé un logiciel appelé Dynamic Interactive qui génère des numéros de téléphone et enregistre les appels.

Les agences concernées ont été prévenues ainsi que Google qui a déjà corrigé le problème en partie puisqu’il n’est plus possible de créer de fausse fiche. Toutefois, il apparaît qu'une modification de celles qui sont déjà en place reste toujours possible à l’insu du site. Pour un un expert qui s'est exprimé aux Komo News, qui a prêté attention au procédé de Seely: «ce n'est certainement pas un hack, ce n'est pas une vulnérabilité, c'est une faille dans la façon dont la logique est mise en place.»

Source : Valley Wag

Et vous ?

Qu'en pensez-vous ?

[mangobango]

... qu'il serait bon d'éviter les traductions littérales et hasardeuses. En effet, pour comprendre correctement nombre d'articles en français ici il faut comprendre l'anglais dont ils sont tirés, ce qui enlève tout intérêt à la traduction. Eg: "locations" (anglais) se traduit en par "lieu" ou "position" ou "localisation" ou "repère" selon le contexte, mais certainement pas "location" qui en anglais donne "rent". Cela dit la source n'est pas hyper claire non plus, si quelqu'un peut éclaircir.

Sur le fond c'est un problème, mais quiconque souhaite joindre la Maison Blanche pour des affaires sensibles a sans doute le numéro de Barak dans ses contacts et ne vas pas simplement zieuter sur Google. Il y a une partie du bug qui pourrait se trouver entre l'écran et le fauteuil.

[Grom61736]

Pour construire ses fausses localisations des bureaux gouvernementaux,

S'il réussit à faire ça, il doit toucher beaucoup d'argent de la part de l'État


Sinon, mangobango, je pense que la personne utilise des personnes et institutions connues pour apporter de la visibilité mais le principe est applicable à plein de choses, et tout ce qui peut se localiser sur Maps.
Donc tant l'espionnage privée que de la société vendeuse de pastèque concurrente.

Mais la morale principale selon moi est bien "Tout le monde fait implicitement confiance à Google".

[samhorry]

Claire on ne peut pas dire que c'est pas un hack, mais le gars a quand même trouver la faille. A mon avis il mérite une petite récompense et que Google ne soit pas radin sur ce coup.

[Saverok]

Il y a en effet une grosse faille de conception.
Les procédés d'identification et d'autorisation sont incroyablement "light".

Le fait de pouvoir éditer les cartes de cette façon me fait beaucoup penser aux problématiques rencontrées par Wikipédia.
Je pense que Google devrait s'en inspirer pour mettre au point un système de contributeurs de confiance ou quelque chose de ce genre (même si on le sait avec l'expérience Wikipédia que ça ne résout pas tout mais aide pas mal quand même)

[mangobango]

J'ai bien saisi l'idée et je suis tout à fait d'accord sur le fait qu'on fait trop confiance aux infos issues de Google et qu'il y a une faiblesse sur l'authentification des personnes pouvant faire ces changements. Mais j'ai l'impression que ça rejoint le problème de fond d'éducation au web et de la confiance qu'on doit accorder aux infos qu'on y trouve.