La campagne de phishing sur Google Docs exploitait une faille vieille de cinq ans
En 2011, le développeur André DeMarre dénonçait sur une chaîne mail IETF un comportement de OAuth -- protocole libre d'identification par services -- permettant de phisher les utilisateurs par un malveillant tour de passe-passe, selon The Register.
http://www.numerama.com/tech/254980-comment-un-phishing-viral-a-piege-de-nombreux-utilisateurs-de-google-docs.html
Dans ce cas de figure, explique le développeur, l'internaute trouverait la demande d'autorisation suivante, pour le moins confuse : Google demande l'autorisation d'accéder à... (vos données Google). Il apparaît complexe pour l'utilisateur de discerner la nature de cette demande et sa source réelle.
Ironiquement, DeMarre a reçu une récompense de la part de Google pour avoir découvert cette faille symbolique qui ne sera finalement pas vraiment corrigée jusqu'à très récemment. En effet, le géant avait alors choisi de limiter la casse en essayant de détecter les abus et les bloquer, tout en précisant qu'il ne vérifierait pas les informations présentées par OAuth dans tous les cas de figure.
DeMarre ajoute aujourd'hui que Google n'avait alors pas la bonne démarche pour gérer la menace du phishing, toujours plus ambitieuse et maline. Le développeur précise : « La principale critique que j'ai à l'encontre de nombreuses interfaces OAuth, pas seulement celles de Google, est qu'elles n'affichent pas assez d'information pour que les utilisateurs confirmés puissent vérifier l'authenticité de l'application émettrice. »