Oren Hafif, un pirate israélien « white Hat » [chapeau blanc : un expert en sécurité informatique], a découvert une faille de sécurité sérieuse chez Gmail qui aurait permis aux pirates d’accéder aux comptes des utilisateurs et à tous les services qui requièrent une authentification Google.

Hafif a découvert la vulnérabilité du système, l’a étudié, l’a testé avec succès et a informé Google. Google lui a donné 500 dollars en récompense dans le cadre de son programme Bug Bounty [programme de chasse aux bugs].

Hafif, un membre de l’équipe de sécurité d’élite de la branche israélienne de Trustwave, une entreprise de sécurité basée à Chicago, travaille avec les petites et grandes entreprises pour détecter les failles de sécurité dans leurs systèmes – repérer les bugs, espèrent ses clients, avant que les pirates ne les découvrent et les exploitent.

Selon Hafif, « avec les connaissances acquises à partir de plus de 300 tests de pénétration et des audits de sécurité pour presque n’importe quelle domaine de service (de la finance, les télécommunications, la santé, le transport, etc), aider mes clients à devenir plus sûr est mon objectif ».

Heureusement pour Google, Hafif a travaillé cette semaine, quand ce qu’il a appelé le « un jeton pour les gouverner tous » a été découvert. Gmail, n’est pas seulement une abréviation pour « Google Mail », comme la plupart des gens le supposent ; il signifie Global Main Authentification and Identification Library [Authentification globale et principale et bibliothèque d’Identification], et « est utilisé partout sur des sites comme Facebook et Twitter à la banque en ligne. Posséder votre compte Gmail est le rêve d’un pirate parce que cela signifie que tous les autres comptes sont maintenant à leur portée de main », a déclaré Hafif dans un blog.

Bien que le bug n’aurait pas révélé les mots de passe Gmail pour les pirates, il aurait exposé les adresses authentiques en utilisant la plate-forme Google – près de la moitié du travail pour obtenir l’accès à un compte, parce que ces adresses peuvent être utilisés dans les scripts de pirates qui tentent de deviner les mots de passe.

Une fois que les mots de passe ont été découverts, les informations d’authentification peuvent être utilisées pour accéder à tous les services qui utilisent l’authentification du système de Google.

Le hack consiste à utiliser un jeton de sécurité émis par Google pour générer une liste d’adresses de la plate-forme Gmail. Le jeton est une chaîne de texte et des chiffres si précieux que Hafif l’appelle «mon précieux jeton ». En changeant un caractère dans le jeton, explique-t-il, il a été en mesure d’exploiter 37 000 adresses Gmail. S’il l’avait voulu, « j’aurais pu extraire toutes les adresses e-mail hébergées sur Google » en quelques semaines, voire quelques jours.

Il convient de noter qu’un bon nombre d’adresses du service n’utilise pas @gmail.com comme leur adresse de domaine.

Les programmes d’affaires de Google permettent aux entreprises d’utiliser leurs propres noms de domaine et d’être hébergé sur les serveurs de Google. Ceux-ci, aussi, indique Hafif, auraient été vulnérables au piratage.

Hafif est un pirate white hat, qui utilise ses « pouvoirs » pour le bien en piratant pour éliminer les menaces de sécurité. Tandis que les hackers « black hat », font le contraire. En tant que white hat, il a signalé le bug à Google, qui a pris des mesures immédiates pour y remédier. « L’équipe de sécurité de Google a corrigé cette vulnérabilité et m’a récompensé avec une prime de 500 dollars ».

De nombreux commentateurs sur le blog s’étonnent de ce qu’ils considèrent comme la très petite somme d’argent décernée à Hafif pour avoir éviter ce qui aurait été une atteinte majeure à la sécurité, qui peut avoir été là depuis des années. «Je n’arrive pas à croire que Google soit aussi radin #% @ #% @», a écrit un commentateur.

Le post a poursuivi en disant qu’ils auraient du donné à Hafif beaucoup plus, étant donné « les dommages collatéraux au niveau macro qui auraient été causés par une fuite de leur base de données électronique complète et les dommages à la réputation de Google ». D’autres ont appelé la récompense « hilarante » et « honteuse ».

« Merci pour les compliments », a répondu Hafif, ajoutant que, bien qu’il aurait aimé plus d’argent, il pouvait comprendre pourquoi Google faisait un profil bas à ce sujet, même si la faille de sécurité découverte était beaucoup plus grave que celles qu’ils découvrent en général. « Ils comprennent probablement que ce cas est différent. Toutefois, expliquez la même chose encore et encore peut être épuisant. Il faut toujours regarder l’image plus large. Je veux dire, je spécule, mais qui sait ? ».

Cliquez ci-dessous pour voir une vidéo d’Oren Hafif expliquant le bug de Gmail :