+ Répondre à la discussion Actualité déjà publiée
  1. #1
    Rédacteur

    Homme Profil pro
    Rédacteur technique
    Inscrit en
    mars 2017
    Messages
    194
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Madagascar

    Informations professionnelles :
    Activité : Rédacteur technique
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : mars 2017
    Messages : 194
    Points : 13 443
    Points
    13 443

    Par défaut Google renforce la sécurité de son système OAuth pour prévenir la survenue de nouvelles attaques de phishing

    Google renforce la sécurité de son système d'authentification OAuth pour prévenir la survenue d'attaques de phishing
    Lorsqu'une application réclame des données d'utilisateurs

    Au cours du début du mois de mai 2017, Google Docs a été victime d’une vaste campagne de phishing destinée à piéger les utilisateurs de Gmail. Des messages électroniques frauduleux ont circulé pendant quelques heures avant que Google n’arrive à les stopper. Les internautes recevaient un email trompeur contenant un lien vers un document supposé être hébergé sur Google Docs. En réalité, ce lien pointait vers une application Web tierce malicieuse nommée « Google Docs », et était exploité par des pirates pour prendre le contrôle des emails et des listes de contact des victimes. Pour pousser les utilisateurs à cliquer sur le lien, un bouton bleu affichant « Open in Docs » avait été placé dans l’email.

    Google a estimé que seulement 0,1 % des comptes utilisateurs gérés par l’entreprise avaient été affectés par cette attaque. À la suite de cet incident, la société avait décidé de procéder au renforcement des dispositifs de sécurité sur sa plateforme en ligne.

    Pour prévenir la survenue de nouvelles attaques de phishing aussi massives que la dernière et les effets négatifs qui y sont généralement associés, Google a ajouté un ensemble de fonctionnalités aux options de sécurité de son système d’authentification OAuth. Il faut rappeler que ce système est utilisé pour lier des applications tierces avec les comptes Google. La firme de Mountain View a mis en place une fenêtre qui s’active et se positionne au premier plan pour transmettre des messages d’alerte permettant d’avertir l’utilisateur que l’application tierce qu’il s’apprête à utiliser n’est pas vérifiée et pourrait constituer un risque plus ou moins important pour l’intégrité et la sécurité des données liées à son compte.

    Ce message d’alerte s’activant lorsqu’une « application non vérifiée » est détectée s’affichera au-dessus de toute nouvelle application Web qui tentera de collecter les informations du compte d’utilisateur Google d’un internaute. Le nouveau procédé permettra d’aider l’internaute à distinguer les applications vérifiées des applications malveillantes qui prétendent être légitimes. Cet avertissement précède l’écran de consentement des autorisations et informe l’utilisateur que l’application en question n’a pas encore validé le processus de vérification de Google.

    Une option permettant à l’utilisateur d’autoriser la collecte de ses informations de connexion par l'application non vérifiée concernée est disponible. Il peut la sélectionner après la confirmation qu'il a bien pris connaissance des dangers liés à cette autorisation. Le développeur d’une application, pour sa part, pourra supprimer l’affichage de ce message d’alerte au-dessus de son application, en complétant le processus de vérification de son application par les services recommandés de Google.

    Nom : unverified-app-ui.gif
Affichages : 1174
Taille : 1,02 Mo
    La société technologique Google a également déclaré qu’elle comptait ajouter ces avertissements à ses scripts d’applications afin d’exploiter le potentiel des macros et des add-ons personnalisés dans ses applications de productivité, comme Google Docs. Certaines applications existantes devront aussi passer par le même processus de vérification que les nouvelles applications.

    « Ces nouveaux messages de signalisation informeront automatiquement les utilisateurs des risques potentiels encourus. Ce système d’alerte devrait leur permettre de prendre des décisions éclairées afin de garder leurs informations en sécurité et de faciliter le test et le développement d’applications par les développeurs », a déclaré Google.

    Le tableau suivant présente les différents cas de figure qui pourraient conduire à l’affichage de l’écran d’application non vérifié (les marques rouges indiquant le cas d'une « application non vérifiée » et les marques vertes le cas d'une « application vérifiée »)  :
    Nom : 05.png
Affichages : 958
Taille : 34,1 Ko

    Source : Google, Support Google

    Et vous ?

    Qu'en pensez-vous ?

    Croyez-vous que cette mesure soit suffisante pour empêcher une nouvelle attaque massive de phishing de Google Docs ?
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre habitué
    Homme Profil pro
    Développeur informatique
    Inscrit en
    mars 2017
    Messages
    23
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 37
    Localisation : Suisse

    Informations professionnelles :
    Activité : Développeur informatique

    Informations forums :
    Inscription : mars 2017
    Messages : 23
    Points : 192
    Points
    192

    Par défaut

    C'est une bonne chose que Google fasse le maximum pour protéger ses utilisateurs contre le phishing.

    Seulement, petite précision technique : OAuth n'est pas un protocole d'authentification, sa spécification ne couvre que le champs des autorisations. (cf https://tools.ietf.org/html/rfc6749#section-3.1 )

Discussions similaires

  1. Google améliore la sécurité de son service de messagerie
    Par Stéphane le calme dans le forum Actualités
    Réponses: 0
    Dernier message: 18/12/2014, 04h40
  2. Google décide de renforcer la sécurité de son service de messagerie
    Par Stéphane le calme dans le forum Actualités
    Réponses: 6
    Dernier message: 23/03/2014, 14h15
  3. Réponses: 0
    Dernier message: 23/03/2012, 11h39
  4. [Actualité] Google renforce la sécurité de Chrome 12
    Par Katleen Erna dans le forum Google Chrome
    Réponses: 14
    Dernier message: 09/04/2011, 16h06
  5. Réponses: 1
    Dernier message: 31/10/2010, 09h07

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo