Gmail : quand le comportement par défaut est dangereux

Gmail : quand le comportement par défaut est dangereux
http://www.google.com
GMAIL : https://gmail.google.com
Il n'est pas nouveau, j'adore l'informatique et surtout la sécurité. Je peux passer même mes soirées dessus :D Mais bon, ce qui m'intéresse là, c'est l'aspect "par défaut" de google qui est à mon avis très dangeureux, comme on va le voir par la suite.
Comportement par défaut
Les aspects "par défaut" ont toujours été un soucis majeur pour la sécurité. Avec par exemple les options par défaut / mots de passe par défaut / comptes par défaut (qui à dit Oracle ;D).
Même, j'ai remarqué que par défaut, hotmail (http://www.hotmail.com alias live messenger ) propose une simple connexion http, la connexion sécurisée (https) étant accessible en option, juste en dessous du login.
Pour gmail, c'est le contraire : une connexion renvoie sur https par défaut.
Bien, non ?
Ben non :D
En fait, faites le test : connectez-vous via http://gmail.google.com et vous vous verrez redirigé sur https://gmail.google.com pour vous identifier (faites bien le test en vous étant déconnecté au préalable).
Et ensuite ? vous êtes redirigé sur http://gmail.google.com.
Pas grave, vous me direz : les identifiants ont été échangé en https, c'est bon !
Pourquoi ce comportement est dangereux
Alors, deux supers articles à mon avis :
le premier, une introduction assez courte mais bon ...
DEFCON 2007 - Wall of Sheep (shame)
August 6th, 2007 - George Ou
http://blogs.zdnet.com/Ou/?p=660&tag=nl.e048
Le deuxième, une superbe illustration de Robert Graham
Hamster plus Hotspot equals Web 2.0 meltdown!
August 2nd, 2007 - Black Hat - Robert Graham (CEO Errata Security)
http://blogs.zdnet.com/Ou/?p=651
Et vive zdnet :D
Alors, le principe est le suivant :
Les identifiants sont bien sécurisés et donc un attaquant ne peut pas les obtenir !
Cependant, lors des autres échanges avec gmail, les identifiants de sessions (et pas ceux d'authentifications) sont envoyés depuis le client vers gmail, pour assurer la continuité de l'authentification. Et le problème est que ces identifiants, vue que l'on est en http, ne sont pas envoyé de manière sécurisée !
Et donc, il "suffit" à un attaquant d'obtenir les informations de sessions nécessaire pour usurper la session (on parle de sidejacking). Et là, l'attaquant à accès à la session gmail (d'une durée suffisamment longue, comme l'indique les articles cités plus haut) et peut donc envoyer des mails / changer le mot de passe (ça, c'est assez embêtant, hein !) ...
La solution
La seule méthode consiste à se connecter dès le début via https://gmail.google.com. Je n'ai trouvé aucune option dans google permettant de le faire. Mais par contre, il existe dès extensions (brrrr, regardez ce super sujet :D http://paranoia.dubfire.net/2007/05/remote-vulnerability-in-firefox.html ) firefox permettant d'y remédier !
Et évitez donc :
la recherche gmail dans google :
premier lien : Gmail.com
deuxième lien :mail.google.com
https : quatrième lien !
Publicité