Google a décidé de resserrer la sécurité de ses utilisateurs en avertissant de l’arrivée d’un courriel non chiffré… mais ne corrige pas un bug plutôt gênant.
Google a ajouté une nouvelle fonctionnalité à Gmail qui a pour mission d’informer les utilisateurs chaque fois qu’un courriel non chiffré atterrit dans votre boîte de réception. Cette nouvelle fonction est destinée à freiner les attaques en ligne qui peuvent viser des fournisseurs de messageries. Pour développer cette fonctionnalité, Google a signé un partenariat avec les Universités du Michigan et de l’Illinois. Une sécurité qui résulte d’une recherche sur l’évolution de la sécurité des courriers électroniques depuis 2013.
Pendant ce temps…
Depuis les paramètres de Gmail via un ordinateur, une chercheuse en informatique à trouvé le moyen de modifier le nom qui apparaîtra dans le courriel envoyé. Pour prouver sa découverte, Yan Zhu, la chercheuse, a modifié son nom d’affichage en yan « »security@google.com ». Les guillemets supplémentaires dans son identité ont provoqué un bug de traitement de l’information. Un moyen qui pourrait piéger des internautes pensant recevoir un courriel de Google, par exemple.
Le bug ne vise que l’application Android. Yan Zhu a alerté l’équipe de sécurité Google. Cette dernière n’a pas estimé qu’il était important de corriger.
La semaine dernière, on nous refaisais le coup de la base de données « super » importante, piratée. Après le pseudo milliard de mots de passe qui n’étaient rien d’autre que l’accumulation de mails interceptés par des « piratins » à grand coups de phishing et attaque de BDD iSQL, voici venir une autre société qui met la main, dans un forum de black Market, sur une base de données de 5 millions de présumés clients gMail.
Google explique que ces comptes proviennent d’attaques de type filoutage. Un grand nombre des identifiants étaient sans danger car vieux, et les mots de passe changés depuis des lustres. N’empêche, cette accumulation rappelle que Google propose, comme Microsoft, Facebook, … la double authentification de son compte et que la protection est loin d’être négligeable. Vous pouvez découvrir le fonctionnement de ce genre de sécurité dans l’article dédié à la double authentification pour votre site web ou pour vos applications Internet.
A noter que la société Know’em propose de savoir si vous êtes victimes de cette « fuite » de 5 millions de comptes gMail en allant sur un espace web dédié : securityalert.knowem.com.
Vous avez un iPhone, un iPad ? Vous utilisez le service webmail de Google gMail ? Vous allez être heureux d’apprendre que le géant américain n’a toujours pas corrigé la faille qui permet d’intercepter les données qui transitent entre votre précieux et gMail.
L’alerte avait été lancée en février dernier par la société Lacoon Mobile Security. A l’époque, l’entreprise expliquait déjà que Google n’avait pas sécurisé les transmissions entre l’internaute et gMail. Bilan, il était possible de lire et modifier les communications normalement chiffrées. Etonnament, la faille a été corrigée sur Android, mais l’américain a « oublié » de faire de même pour les produits d’Apple. Bref, un pirate se mettant entre vous et la connexion, via une connexion wifi « gratuite » par exemple, n’aura aucun mal à intercepter et utiliser votre compte gMail. En attendant un correction, il est fortement déconseillé d’utiliser les applications gMail via une machine commercialisée par la grosse pomme.
Si votre site fonctionne sous Joomla 3.2.2, un conseil mettez à jour votre CMS vers la nouvelle version 3.2.3. Joomla 3.2.3 a été publié, voilà quelques heures, pour permettre la correction de plus de 40 bugs et quatre vulnérabilités de sécurité. L’une des failles en question corrigé une injection SQL. Une vulnérabilité grave qui affecte les versions de 3.1.0 à 3.2.2. Pour rappel, une iSQL permet de mettre la main sur les bases de données qui font tourner un site web. Des données publiques et non publiques (emails, mots de passe, …)
Deux autres failles ont été corrigées, des XSS (Cross Site Scripting). Le dernier « bug » permettait des connexions non autorisées via l’authentification GMail. Vulnérabilité qui affecte les versions 2.5.8 à 3.2.2.
Une correction rapide est conseillée. Data Security Breach a pu constater l’utilisation, par des pirates, d’exploits visant ces failles et les CMS faillibles.