Une nouvelle alerte de sécurité a été envoyée aux 1,8 milliard d’utilisateurs de Gmail

Mise à jour 5/6 ci-dessous. Cet article a été initialement publié le 3 juin

La sécurité de Gmail a toujours été l’un de ses principaux arguments de vente, mais aujourd’hui, l’une des nouvelles fonctionnalités de sécurité les plus en vogue est activement utilisée par les pirates pour tromper les utilisateurs.

soumis le mois dernier, Système de coche Gmail Met en évidence les entreprises et les organisations vérifiées pour les utilisateurs avec une coche bleue. L’idée est d’aider les utilisateurs à distinguer les e-mails légitimes de ceux qui pourraient être envoyés par des imitateurs effectuant des escroqueries. Malheureusement, les escrocs ont trompé le système.

Supervisé par un ingénieur en cybersécurité Chris PlumerLes escrocs ont trouvé un moyen de convaincre Gmail que leurs fausses marques sont légitimes. Et ce faisant, en utilisant la confiance que le système de coche est censé inspirer aux utilisateurs de Gmail.

« L’expéditeur a trouvé un moyen d’usurper le sceau d’approbation approuvé de Gmail, auquel les utilisateurs finaux feront confiance », explique Plummer. « Ce message est passé du compte Facebook au netblock britannique, à O365, à moi. Rien à ce sujet n’est légitime. »

Plummer rapporte que Google a initialement rejeté sa découverte comme un « comportement intentionnel » avant que ses tweets à ce sujet ne deviennent viraux, et la société a reconnu l’erreur. Dans une déclaration à Plummer, Google a écrit :

« Après avoir examiné de plus près, nous avons réalisé que cela ne ressemblait pas à une faiblesse générale du SPF. Nous rouvrons donc cela, et l’équipe appropriée examine de plus près ce qui se passe. »

Nous nous excusons à nouveau pour la confusion et comprenons que notre réponse initiale ait pu être frustrante, merci beaucoup de nous avoir fait pression pour que nous examinions cela de plus près !

Nous vous tiendrons au courant de notre évaluation et de la direction que prend ce problème.

Cordialement, l’équipe de sécurité Google »

Plummer Points forts Google a maintenant répertorié le bogue comme un correctif « P1 » (haute priorité), qui est actuellement « en cours ».

Un grand mérite revient à Plummer, non seulement pour l’avoir découvert, mais aussi pour les efforts qu’il a déployés pour que Google reconnaisse le problème. Cependant, jusqu’à ce que Google le corrige, le système de vérification des coches de Gmail reste défectueux et les pirates et les spammeurs l’utilisent pour vous tromper dans la chose exacte qu’il était censé combattre. Soyez vigilant.

Mise à jour 06/05 : les chercheurs en sécurité commencent à comprendre comment le système de vérification des coches de Gmail est trompé et comment il s’applique à d’autres services de messagerie. dans article de blogLe débogueur Jonathan Rudenberg a révélé qu’il était capable de reproduire le piratage sur Gmail, déclarant :

Gmail Implémentation BIMI ne nécessite que FPS correspondre Signature DKIM Cela peut provenir de n’importe quel domaine. Cela signifie que tout serveur de messagerie abonné ou mal configuré dans les enregistrements SPF d’un domaine compatible BIMI peut être un vecteur d’usurpation d’identité utilisant la gestion BIMI complète de Gmail…

BIMI est pire que le statu quo, car il permet un hameçonnage extrêmement puissant basé sur une seule erreur de configuration dans un package de messagerie très complexe et fragile.

Rudenberg a également publié les résultats des implémentations BIMI sur d’autres services de messagerie majeurs, en disant :

• iCloud : vérifie correctement que DKIM correspond au domaine de
• Yahoo : ne traite BIMI qu’avec des messages en masse très réputés
• Fastmail : Pauvre mais prend également en charge Gravatar et utilise le même traitement pour les deux donc l’effet est minime
• Apple Mail + Fastmail : vulnérable à un traitement dangereux

Oui, cela signifie que les utilisateurs d’Apple Mail et de Fastmail doivent également être vigilants, même s’ils n’utilisent pas le même système de coche que Gmail. Il y a eu une réponse très critique à cette vulnérabilité de la part de la communauté de la sécurité, avec des questions posées sur la façon dont cela a pu se produire et sur la mauvaise mise en œuvre de la méthode de vérification de Gmail. Google a besoin d’un correctif dès que possible.

___

Suivez Gordon sur Facebook

En savoir plus sur Forbes

Plus de ForbesGoogle corrige la deuxième vulnérabilité Zero Day sur Chrome en une semainepar Gordon Kelly