Une erreur dans le texte ?

C'est le bon endroit pour nous l'indiquer !
Attention, ce formulaire ne doit servir qu'à signaler une erreur. N'hésitez pas à utiliser les commentaires pour donner votre avis, ou la page de contact pour nous contacter. Merci.

Etape 1

Cliquez sur les paragraphes contenant des erreurs !

La campagne de phishing sur Google Docs exploitait une faille vieille de cinq ans

Selon The Register, la faille qui a permis la vaste campagne de phishing corrigée par Google hier existe depuis plus de cinq ans.

En 2011, le développeur André DeMarre dénonçait sur une chaîne mail IETF un comportement de OAuth -- protocole libre d'identification par services -- permettant de phisher les utilisateurs par un malveillant tour de passe-passe, selon The Register. Dans sa publication datant désormais de plus de cinq ans, le développeur détaille un scénario -- très proche de celui qui a conduit de nombreux internautes à l'erreur -- dans lequel un client OAuth se nommerait, faussement, Google.

http://www.numerama.com/tech/254980-comment-un-phishing-viral-a-piege-de-nombreux-utilisateurs-de-google-docs.html

Dans ce cas de figure, explique le développeur, l'internaute trouverait la demande d'autorisation suivante, pour le moins confuse : Google demande l'autorisation d'accéder à... (vos données Google). Il apparaît complexe pour l'utilisateur de discerner la nature de cette demande et sa source réelle.

Ironiquement, DeMarre a reçu une récompense de la part de Google pour avoir découvert cette faille symbolique qui ne sera finalement pas vraiment corrigée jusqu'à très récemment. En effet, le géant avait alors choisi de limiter la casse en essayant de détecter les abus et les bloquer, tout en précisant qu'il ne vérifierait pas les informations présentées par OAuth dans tous les cas de figure.

DeMarre ajoute aujourd'hui que Google n'avait alors pas la bonne démarche pour gérer la menace du phishing, toujours plus ambitieuse et maline. Le développeur précise : « La principale critique que j'ai à l'encontre de nombreuses interfaces OAuth, pas seulement celles de Google, est qu'elles n'affichent pas assez d'information pour que les utilisateurs confirmés puissent vérifier l'authenticité de l'application émettrice. »