IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Mon application mobile Discussion :

Un bogue dans l'application de messagerie Gmail sur Android facilite le spoofing


Sujet :

Mon application mobile

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Administrateur de base de données
    Inscrit en
    Mars 2013
    Messages
    8 384
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Canada

    Informations professionnelles :
    Activité : Administrateur de base de données

    Informations forums :
    Inscription : Mars 2013
    Messages : 8 384
    Points : 196 429
    Points
    196 429
    Par défaut Un bogue dans l'application de messagerie Gmail sur Android facilite le spoofing
    Un bogue dans l'application de messagerie Gmail sur Android facilite le spoofing
    en permettant de falsifier l'identité de l'expéditeur


    Mise à jour du 18/11/2015 : Google s'est décidé à résoudre le problème d'identification avec son application Gmail sur Android

    En fin octobre dernier, la chercheuse en sécurité Yan Zhu avait alerté Google à propos de la possibilité de changer l’adresse de l’expéditeur d’un message dans l’application de messagerie Gmail pour Android, pouvant permettre ainsi de tromper le destinataire sur l'identité de la personne qui le lui a envoyé. Si Google avait d’abord estimé qu’il ne s’agit pas là d’une vulnérabilité de sécurité, l’équipe de sécurité s’est finalement décidée à résoudre le problème : « Nous avons apprécié le rapport de la chercheuse et nous corrigeons le problème qu'elle a trouvé dans l'application Gmail pour Android », a indiqué un porte-parole de l’entreprise à MotherBoard, rajoutant que « notre relation rapprochée avec la communauté des chercheurs en sécurité nous aide à garder les utilisateurs à l'abri ».

    Si Zhu a avancé qu’elle était heureuse que la faille soit finalement corrigée, elle n’a pas manqué d’exprimer sa consternation et sa déception dues au fait que Google n’ait pas compris quel était le problème lorsqu’elle l’a expliqué à ses équipes de sécurité « au moins trois fois, avec des captures d’écran » : « je ne veux pas dénigrer le travail de l'équipe de Google en matière de sécurité qui est difficile et elle doit sans doute être inondée de faux rapports », a-t-elle indiqué. « Cependant, le processus de rapport de bogue légitime a été beaucoup plus frustrant que ce à quoi je m'attendais ».

    MotherBoard
    La chercheuse en sécurité Yan Zhu a découvert une faille dans l’application de messagerie de Google Gmail sur la plateforme Android qui permet de modifier le nom de l’expéditeur d’un courriel, trompant ainsi les utilisateurs sur son identité.

    Pour en tirer parti, il suffit de vous rendre dans vos paramètres de compte et d’y modifier votre nom, ce qui aura pour conséquence de cacher votre adresse mail légitime. Zhu a illustré ce problème avec la capture d’écran ci-dessous. La chercheuse indépendante à modifier son nom en yan ""security@google.com". Elle a expliqué à MotherBoard que « les guillemets supplémentaires déclenchent un bogue d’analyse dans l’application Gmail, ce qui fait en sorte que la vraie adresse mail n’est pas visible ».


    Dans cet exemple, la chercheuse s’est fait passer pour un membre de l’équipe de sécurité de Google. Avec ce bogue, un attaquant est capable d’usurper une adresse mail de cette façon et faire apparaître son courriel piégé comme un courriel légitime, qu’il s’agisse de votre banque, d’un agent de prestation bien connu de la famille ou de vos amis, et rendre ainsi ses campagnes d’hameçonnage encore plus effectives.

    Néanmoins, pour l’équipe de sécurité de Google, il ne s’agit pas là d’une vulnérabilité de sécurité, selon les captures d’écran des échanges entre la chercheuse et l’équipe à la grande surprise de la chercheuse qui a avancé, amusée, sur Twitter : « me servir d’un bogue Gmail Android qui me permet d’utiliser une adresse e-mail factice et ils disent qu’il ne s’agit pas là d’un problème de sécurité ».


    Bien que cette vulnérabilité puisse être catégorisée parmi les vulnérabilités à faible risque étant donné qu’elle ne fonctionne qu’avec l’application de messagerie Gmail sur la plateforme Android, elle pourrait permettre à des attaquants d’élaborer des techniques d’hameçonnage bien plus perfectionnées, augmentant ainsi la probabilité qu’un utilisateur se fasse avoir. C’est le scénario que Zhu a présenté à Google lorsqu’elle a signalé ce bogue en privé.

    Ce dernier pourrait ne pas avoir un correctif si la position de l’équipe de sécurité de Google sur la question demeure la même. Un certain nombre de personnes dans la communauté des chercheurs en sécurité ont décidé de tourner à la plaisanterie ce qu’elle pourrait faire suite à cette réponse. Par exemple, l’utilisateur Phred a estimé qu’elle pourrait « envoyer le courriel à Sergey ou Larry en leur expliquant qu’il s’agit d’un bogue prioritaire qui a besoin d’un correctif immédiatement. Problème résolu ».

    La semaine dernière, l’entreprise a avancé que Gmail sera mis à jour dans le cadre d'un effort d’amélioration de la sécurité. Alors que le service de messagerie utilise déjà le protocole HTTPS par défaut pour chiffrer les connexions et met en œuvre un protocole appelé STARTTLS pour limiter au maximum les possibilités d’espionnage, Google a expliqué être en train de développer un outil qui sera chargé d’alerter les utilisateurs de Gmail lors de la réception d’un e-mail en provenance d’une liaison non cryptée. C’est-à-dire qu’il pourra détecter si un e-mail n’est pas passé par un protocole de communication sécurisée comme TLS. Cet outil devrait être disponible « dans les prochains mois ».

    Source : MotherBoard, twitter Yan, twitter Phred

    Voir Aussi :

    Google prévoit une nouvelle mesure de sécurité lors de la réception d'e-mails en provenance de liaisons non sécurisées
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Rédacteur
    Avatar de imikado
    Homme Profil pro
    Développeur informatique
    Inscrit en
    Décembre 2006
    Messages
    5 239
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 42
    Localisation : France, Val de Marne (Île de France)

    Informations professionnelles :
    Activité : Développeur informatique
    Secteur : Finance

    Informations forums :
    Inscription : Décembre 2006
    Messages : 5 239
    Points : 19 100
    Points
    19 100
    Billets dans le blog
    17
    Par défaut
    Pour info, n'importe qui peut envoyer un email de n'importe qui, le protocole de mail est un des moins sécurisé.

    Par exemple, quand vous faites des sites web, ou autre batch vous définissez manuellement l'email de l'expediteur sans pour autant posséder le nom de domaine

    Pas besoin de donner d'exemple, une simple recherche de mail et php vous donneront les détails d'appel
    Framework php sécurisé et simple à prendre en main avec générateur web http://mkframework.com/ (hebergé sur developpez.com)
    Mes cours/tutoriaux

  3. #3
    Expert confirmé Avatar de AoCannaille
    Inscrit en
    Juin 2009
    Messages
    1 412
    Détails du profil
    Informations forums :
    Inscription : Juin 2009
    Messages : 1 412
    Points : 4 729
    Points
    4 729
    Par défaut
    Citation Envoyé par imikado Voir le message
    Pour info, n'importe qui peut envoyer un email de n'importe qui, le protocole de mail est un des moins sécurisé.

    Par exemple, quand vous faites des sites web, ou autre batch vous définissez manuellement l'email de l'expediteur sans pour autant posséder le nom de domaine

    Pas besoin de donner d'exemple, une simple recherche de mail et php vous donneront les détails d'appel
    Pour avoir développé un serveur SMTP, je peux effectivement confirmer ça. Le seul problème impliqué par cette usurpation est qu'on ne peux pas nous répondre.

    Le client mail RoundCube permet de faire ça très facilement! J'envoit régulièrement pour quelques blagues des maisl au nom de chuck norris, du PDG de ma boite ou du Président

  4. #4
    Futur Membre du Club
    Homme Profil pro
    Enseignant Chercheur
    Inscrit en
    Septembre 2015
    Messages
    3
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 53
    Localisation : Réunion

    Informations professionnelles :
    Activité : Enseignant Chercheur
    Secteur : Enseignement

    Informations forums :
    Inscription : Septembre 2015
    Messages : 3
    Points : 7
    Points
    7
    Par défaut
    Pour répondre aux deux précédents commentaires. Je ne suis pas un spécialiste de sécurité mais je suppose que ce qu'a trouvé la chercheuse va au-delà du simple changement de "expéditeur". Changement superficiel qui est vite détecté si on affiche les en-têtes longs. Non ?

  5. #5
    Membre habitué Avatar de yaraco
    Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Septembre 2010
    Messages
    89
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Septembre 2010
    Messages : 89
    Points : 150
    Points
    150
    Par défaut
    Il n'y a pas de changement superficiel. Un email est comme une lettre. Si j'écris sur ma carte postale que je suis Barack Obama, la poste ne vérifie pas que je suis bien Barack.
    Pour valider une identité, il faut passer par une signature numérique.

    D'où la réaction de Google : ce que permet de faire leur application, n'importe quel développeur peut déjà le faire.

  6. #6
    Membre à l'essai Avatar de javajordan
    Femme Profil pro
    Récupérateur et réparateur de pc
    Inscrit en
    Août 2015
    Messages
    8
    Détails du profil
    Informations personnelles :
    Sexe : Femme
    Âge : 57
    Localisation : France, Charente Maritime (Poitou Charente)

    Informations professionnelles :
    Activité : Récupérateur et réparateur de pc
    Secteur : Services de proximité

    Informations forums :
    Inscription : Août 2015
    Messages : 8
    Points : 23
    Points
    23
    Par défaut le bug est corrigé? Première nouvelle
    je reçois toujours des mails venant soi disant de "moi" ...
    donc le bug n est pas corrigé

  7. #7
    Membre éclairé
    Homme Profil pro
    nop
    Inscrit en
    Mars 2015
    Messages
    436
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Somme (Picardie)

    Informations professionnelles :
    Activité : nop
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mars 2015
    Messages : 436
    Points : 658
    Points
    658
    Par défaut
    bonne nouvelle !


    quelqu'un sait-il si depuis cette correction on peut enfin envoyer des vrais emails sous une identité différente de l'orthographe de l'email (envoyer sous "service technique" avec un email contact@monsite.com) sans être considéré comme un spam ? Le mois dernier ça ne fonctionnait toujours pas (considéré comme spam dans gmail dès le premier mail d'un nouveau domaine)

  8. #8
    Membre averti
    Profil pro
    Inscrit en
    Octobre 2010
    Messages
    184
    Détails du profil
    Informations personnelles :
    Localisation : France

    Informations forums :
    Inscription : Octobre 2010
    Messages : 184
    Points : 409
    Points
    409
    Par défaut
    Citation Envoyé par imikado Voir le message
    Pour info, n'importe qui peut envoyer un email de n'importe qui, le protocole de mail est un des moins sécurisé.

    Par exemple, quand vous faites des sites web, ou autre batch vous définissez manuellement l'email de l'expediteur sans pour autant posséder le nom de domaine

    Pas besoin de donner d'exemple, une simple recherche de mail et php vous donneront les détails d'appel
    Oui et non... On est en 2015 la plupart des serveurs mails verifient que les mails entrants ont bien été envoyé par le domaine en question en vérifiant l'origine SPD et la signature DKIM. Bref si tu t'amuses a envoyer un mail avec security@gmail.com en expediteur à une adresse gmail tu peut être sur qu'il sera classé en spam.

    Ici le mail a beaucoup plus de chance de bypass le filtre anti spam puisque le bug ne se situe pas au niveau de l'envoie du mail, mais dans l'affichage du nom de l'expéditeur par le client. Cela dit le risque d'exploit est franchement minime puisqu'il ne concerne que le client mail Android et que les serveurs de Google classifiront en spam tout mail falsifiant le domaine d'origine...

  9. #9
    Membre éclairé
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Mars 2011
    Messages
    222
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 45
    Localisation : France, Isère (Rhône Alpes)

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mars 2011
    Messages : 222
    Points : 766
    Points
    766
    Par défaut
    C'est curieux de vouloir considérer ça comme un bug de sécurité, un bug car ce n'est pas une fonctionnalité souhaitée de cette façon là ok, mais je ne vois pas où est le problème de sécurité.

    Pouvoir choisir l'identité avec laquelle on envoie un mail indépendamment du serveur SMTP utilisé est une fonctionnalité présente dans beaucoup d'applications (Thunderbird et Outlook entre autres). Selon les serveurs smtp utilisés il y a parfois une vérification ou pas que le domaine de l'adresse mail de l’expéditeur corresponde, mais pas forcément. D'ailleurs ça se retrouve parfois dans la différence qu'on observe dans champ "From" ou "Sender" des entêtes d'email: chez Google par exemple quand on choisit de mettre une autre adresse d'expéditeur c'est ce que ça fait. La version payante de Gmail permet d'ailleurs de ne pas faire apparaître l'adresse gmail mais uniquement l’identité choisie.

    En plus les destinataires ne regardent de toute façon pas l'email de expéditeur mais uniquement le nom affiché, ce qui est un champ encore plus libre.

    Si on va dans ce sens là, ce sont les emails d'une façon général qui sont un bug de sécurité en eux-mêmes (ce qui ne serait pas complètement faux d'ailleurs).

  10. #10
    Membre éclairé
    Homme Profil pro
    nop
    Inscrit en
    Mars 2015
    Messages
    436
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Somme (Picardie)

    Informations professionnelles :
    Activité : nop
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mars 2015
    Messages : 436
    Points : 658
    Points
    658
    Par défaut
    Citation Envoyé par miky55 Voir le message
    Oui et non... On est en 2015 la plupart des serveurs mails verifient que les mails entrants ont bien été envoyé par le domaine en question en vérifiant l'origine SPD et la signature DKIM. Bref si tu t'amuses a envoyer un mail avec security@gmail.com en expediteur à une adresse gmail tu peut être sur qu'il sera classé en spam.
    C'est curieux de vouloir considérer ça comme un bug de sécurité, un bug car ce n'est pas une fonctionnalité souhaitée de cette façon là ok, mais je ne vois pas où est le problème de sécurité.
    n'oubliez pas que le plus grand serveur de courrier français ne vérifie toujours pas l'identité de l'émetteur lors d'un envoi d'un courrier qu'il soit simple ou en recommandé avec accusé de réception: laposte alors qu'il vérifie aléatoirement l'identité à la réception....
    c'est triste de savoir que le phishing dans la vie réel est largement possible : par exemple allez dans un bureau de poste et envoyer un recommandé au nom de quelqu'un ou d'une entreprise.Bien sûr c'est illégal, mais la poste (la personne au guichet qui prend en main votre recommandé) ne vérifie pas votre carte d'identité.

    je suis d'accord ce n'est pas un bug mais une erreur de procédure ou une légèreté de fonctionnalité trop ouverte.
    Un bug fournit une erreur ou un résultat non attendu.

  11. #11
    Provisoirement toléré
    Homme Profil pro
    Architecte réseau
    Inscrit en
    Mars 2016
    Messages
    114
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Seine Saint Denis (Île de France)

    Informations professionnelles :
    Activité : Architecte réseau
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mars 2016
    Messages : 114
    Points : 0
    Points
    0
    Par défaut
    Citation Envoyé par imikado Voir le message
    Pour info, n'importe qui peut envoyer un email de n'importe qui, le protocole de mail est un des moins sécurisé.
    Plus précisément, il n'a pas été conçu pour interdire certaines choses.

    Citation Envoyé par imikado Voir le message
    Par exemple, quand vous faites des sites web, ou autre batch vous définissez manuellement l'email de l'expediteur sans pour autant posséder le nom de domaine
    J'espère bien que je peux librement utiliser mon adresse email chez mon FAI sans posséder le domaine.

    Il ne manquerait plus qu'on m'en empêche!

  12. #12
    Provisoirement toléré
    Homme Profil pro
    Architecte réseau
    Inscrit en
    Mars 2016
    Messages
    114
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Seine Saint Denis (Île de France)

    Informations professionnelles :
    Activité : Architecte réseau
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Mars 2016
    Messages : 114
    Points : 0
    Points
    0
    Par défaut
    Citation Envoyé par imikado Voir le message
    Pour info, n'importe qui peut envoyer un email de n'importe qui, le protocole de mail est un des moins sécurisé.

    Par exemple, quand vous faites des sites web, ou autre batch vous définissez manuellement l'email de l'expediteur sans pour autant posséder le nom de domaine

    Pas besoin de donner d'exemple, une simple recherche de mail et php vous donneront les détails d'appel
    Depuis un domaine Google vers un domaine Google et sans que le destinataire voit un avertissement en utilisant un outil de Google?

    En principe, non.

  13. #13
    Membre éclairé
    Homme Profil pro
    nop
    Inscrit en
    Mars 2015
    Messages
    436
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Somme (Picardie)

    Informations professionnelles :
    Activité : nop
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Mars 2015
    Messages : 436
    Points : 658
    Points
    658
    Par défaut
    Citation Envoyé par secuexpert Voir le message
    Depuis un domaine Google vers un domaine Google et sans que le destinataire voit un avertissement en utilisant un outil de Google?

    En principe, non.
    je plussois, je doute aussi.
    Autant l'envoi peut fonctionner.
    Autant la bonne réception dans la boîte (courrier réception) n'est pas assurée. Dernièrement j'avais créé plusieurs domaine hors google.
    quand j'envoyais un mail que ce soit en pop,imap,smtp avec (exemple) carine.lemarchant<contact@dom1.fr>) il arrivait toujours en spam chez les destinataires gmail (et pas chez orange).
    j'ai mis du temps à trouver, mais maintenant (depuis au moins 6 mois), google place en spam tout nouveau email entrant dont une partie de la chaine nom-prenom ne se retrouve pas dans l'adresse email. Ainsi en changeant le nom du contact par carinelemarchant.contact<contact@dom1.fr>, par magie ça n'arrivait plus en spam.

  14. #14
    Expert confirmé Avatar de AoCannaille
    Inscrit en
    Juin 2009
    Messages
    1 412
    Détails du profil
    Informations forums :
    Inscription : Juin 2009
    Messages : 1 412
    Points : 4 729
    Points
    4 729
    Par défaut
    Citation Envoyé par MichaelREMY Voir le message
    je plussois, je doute aussi.
    Autant l'envoi peut fonctionner.
    Autant la bonne réception dans la boîte (courrier réception) n'est pas assurée. Dernièrement j'avais créé plusieurs domaine hors google.
    quand j'envoyais un mail que ce soit en pop,imap,smtp avec (exemple) carine.lemarchant<contact@dom1.fr>) il arrivait toujours en spam chez les destinataires gmail (et pas chez orange).
    j'ai mis du temps à trouver, mais maintenant (depuis au moins 6 mois), google place en spam tout nouveau email entrant dont une partie de la chaine nom-prenom ne se retrouve pas dans l'adresse email. Ainsi en changeant le nom du contact par carinelemarchant.contact<contact@dom1.fr>, par magie ça n'arrivait plus en spam.
    Tout ceci est vrai, mais c'est Google qui déroge aux spec de SMTP dans leur implémentation de leur serveur. Par sécurité, d'accord, mais ils sont non-compliant. (enfin, pas totalement : le mail est reçu quand même. En spam, mais reçu)


    Vous pouvez envoyer un mail via telnet en envoyant les commandes dans le bon ordre, la seule donnée qui ne doit pas être inventée est le "To:", le reste, on pipeaute comme on veut, et si ça ne fonctionne pas, le serveur est non-compliant.

Discussions similaires

  1. Gtalk : un bug dans le service de messagerie instantanée de Google
    Par Stéphane le calme dans le forum Actualités
    Réponses: 3
    Dernier message: 27/09/2013, 11h10
  2. Conception d'une application de tracking GPS sur android
    Par abdelghani666 dans le forum API standards et tierces
    Réponses: 2
    Dernier message: 21/01/2013, 01h36
  3. Réponses: 4
    Dernier message: 05/01/2010, 19h03
  4. Bug dans mon application, sauriez-vous y regarder svp
    Par beegees dans le forum VB 6 et antérieur
    Réponses: 0
    Dernier message: 28/12/2008, 12h59
  5. Comment indiquer un bug dans l'application ?
    Par millie dans le forum Millie
    Réponses: 0
    Dernier message: 30/08/2008, 12h36

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo