Gmail est un outil très sécurisé, cela ne fait aucun doute, mais il n’est pas exempt de bugs pour autant. Non et une chercheuse en sécurité du nom de Yan Zhu vient de lever un magnifique lièvre. Il suffit effectivement de bidouiller l’application mobile pour se faire passer pour… n’importe qui. Comment ? Grâce à de simples guillemets.
Si vous ne la connaissez pas, alors sachez que Yan Zhu habite actuellement à San Francisco, en Californie. Elle s’est toujours intéressée à l’informatique et c’est précisément ce qui l’a poussé à suivre un cursus au MIT entre 2008 et 2012.
Grâce à la version Android de Gmail, vous allez pouvoir vous faire passer pour qui vous voulez.
Elle a aussi passé un doctorat en philosophie à Stanford en 2013 avant de participer à différents groupes de travail pour le W3C.
Grâce à ce bug, vous pouvez même vous faire passer pour Sergey Brin si vous voulez
Derrière, elle a travaillé pour pas mal de boites différentes et elle occupe actuellement un poste d’ingénieur senior en sécurité chez Yahoo. Ce qui ne l’a pas empêché de bosser sur Freedom of Press Foundation ou même sur Tor, bien entendu.
Bref, vous l’aurez compris, Yan a un sacré bagage mais elle n’a pas eu besoin de ses connaissances techniques pour dénicher ce drôle de bug. C’est d’ailleurs ce qui le rend aussi redoutable car tout le monde peut l’exploiter.
Bon, mais quelle est la nature exacte de ce bug, alors ?
En réalité, il consiste tout simplement à modifier son nom d’affichage pour faire apparaître une adresse email de confiance dans l’entête de nos mails. Comment ? C’est très simple en réalité car il suffit d’aller fouiner dans les réglages de l’application mobile – sur Android – et de modifier le nom du compte pour saisir quelque chose dans ce goût là : Sergey Brin “”sergey@google.com””.
D’après les informations données par Yan Zhu, le fait d’utiliser deux ensembles de guillemets activerait un bug masquant la véritable adresse email de l’expéditeur et il faudrait du coup aller fouiner dans les entêtes des messages pour la faire apparaître.
Et tout le problème est là finalement car peu de gens auront le réflexe de fouiner dans leurs courriers électroniques pour déterminer l’identité exacte de l’expéditeur du message.
Pour Google, ce bug ne présente aucun risque mais il est tout de même préférable d’en parler autour de soi pour éviter que nos amis / collègues / membres de notre famille se fassent avoir.
no dkim validation error, etc. anyway i am prolly gonna stop bugging them. pic.twitter.com/2VmEk8u4kB
— yan (@bcrypt) November 11, 2015