Selon The Register, la faille qui a permis la vaste campagne de phishing corrigée par Google hier existe depuis plus de cinq ans.

En 2011, le développeur André DeMarre dénonçait sur une chaîne mail IETF un comportement de OAuth — protocole libre d’identification par services — permettant de phisher les utilisateurs par un malveillant tour de passe-passe, selon The Register. Dans sa publication datant désormais de plus de cinq ans, le développeur détaille un scénario — très proche de celui qui a conduit de nombreux internautes à l’erreur — dans lequel un client OAuth se nommerait, faussement, Google.

À lire sur Numerama : Comment un phishing viral a piégé de nombreux utilisateurs de Google Docs

Dans ce cas de figure, explique le développeur, l’internaute trouverait la demande d’autorisation suivante, pour le moins confuse : Google demande l’autorisation d’accéder à… (vos données Google). Il apparaît complexe pour l’utilisateur de discerner la nature de cette demande et sa source réelle.

Ironiquement, DeMarre a reçu une récompense de la part de Google pour avoir découvert cette faille symbolique qui ne sera finalement pas vraiment corrigée jusqu’à très récemment. En effet, le géant avait alors choisi de limiter la casse en essayant de détecter les abus et les bloquer, tout en précisant qu’il ne vérifierait pas les informations présentées par OAuth dans tous les cas de figure.

DeMarre ajoute aujourd’hui que Google n’avait alors pas la bonne démarche pour gérer la menace du phishing, toujours plus ambitieuse et maline. Le développeur précise : « La principale critique que j’ai à l’encontre de nombreuses interfaces OAuth, pas seulement celles de Google, est qu’elles n’affichent pas assez d’information pour que les utilisateurs confirmés puissent vérifier l’authenticité de l’application émettrice.  »

Partager sur les réseaux sociaux