Bulletins

Google corrige un bug de sécurité majeur sept heures après la publication de l'exploit

bs1.jpg

Google a corrigé, dans le courant de la semaine passée, un bug de sécurité majeur affectant les serveurs de messagerie Gmail et G Suite – un bug qui aurait pu permettre à des acteurs malveillants d’envoyer des emails frauduleux imitant n’importe quel client Gmail ou G Suite.

Selon Allison Husain, chercheuse en sécurité qui a décelé et rapporté le problème à Google en avril dernier, le bug permet également aux hackers de rendre en apparence les emails frauduleux conformes à la Sender Policy Framework (SPF) et à la Domain-based Message Authentication, Reporting and Conformance (DMARC) – les deux étant des normes de sécurité de messagerie très avancées.

Cependant, ayant eu pas moins de 137 jours pour résoudre le problème signalé, Google a préféré retarder les correctifs au-delà de la date limite de divulgation, prévoyant de corriger le bug vers le courant du mois de septembre. Les ingénieurs de Google ont dû changer d’avis après que Husain ait publié les détails du bug sur son blog. Elle a également publié un code d’exploitation en tant que démonstration du concept (proof of concept).

Quelques heures après la publication de Husain, Google a déclaré avoir déployé des mesures d'atténuation afin de bloquer toute attaque tirant parti du problème signalé, en attendant le déploiement des correctifs finaux en septembre.