En 2011, le développeur André DeMarre dénonçait sur une chaîne mail IETF un comportement de OAuth — protocole libre d’identification par services — permettant de phisher les utilisateurs par un malveillant tour de passe-passe, selon The Register. Dans sa publication datant désormais de plus de cinq ans, le développeur détaille un scénario — très proche de celui qui a conduit de nombreux internautes à l’erreur — dans lequel un client OAuth se nommerait, faussement, Google.
Dans ce cas de figure, explique le développeur, l’internaute trouverait la demande d’autorisation suivante, pour le moins confuse : Google demande l’autorisation d’accéder à… (vos données Google). Il apparaît complexe pour l’utilisateur de discerner la nature de cette demande et sa source réelle.
Ironiquement, DeMarre a reçu une récompense de la part de Google pour avoir découvert cette faille symbolique qui ne sera finalement pas vraiment corrigée jusqu’à très récemment. En effet, le géant avait alors choisi de limiter la casse en essayant de détecter les abus et les bloquer, tout en précisant qu’il ne vérifierait pas les informations présentées par OAuth dans tous les cas de figure.
DeMarre ajoute aujourd’hui que Google n’avait alors pas la bonne démarche pour gérer la menace du phishing, toujours plus ambitieuse et maline. Le développeur précise : « La principale critique que j’ai à l’encontre de nombreuses interfaces OAuth, pas seulement celles de Google, est qu’elles n’affichent pas assez d’information pour que les utilisateurs confirmés puissent vérifier l’authenticité de l’application émettrice. »
Nouveauté : Découvrez
La meilleure expérience de Numerama, sans publicité,
+ riche,
+ zen,
+ exclusive.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !
