Si comme moi vous êtes un utilisateur de Gmail, vous êtes peut-être au courant de la nouvelle, relayée avant hier par Hacking Truths : un outil permettant de s’approprier des sessions Gmail non cryptées a été présenté dans la conférence Defcon de hackers, tenue à Las Vegas en début de mois.

Avec cet outil, et un sniffer réseau, une personne malicieuse peut prendre le contrôle sur un compte Gmail quasiment sans difficulté. Vous pouvez trouver une description assez détaillée de la procédure (avec vidéo à l’appui) sur EnableSecurity.

Heureusement il y a une solution facile, activer l’option HTTPS permanente dans vos paramètres Gmail :

Ce qui m’ennuie est que l’option n’est pas trop visible dans Gmail, et que rien chez Google n’encourage à l’activer. A mon avis, après la exposition publique d’une telle vulnérabilité, et ayant la solution sous la main, la moindre des choses que Google aurait dû faire c’est de prévenir les utilisateurs et les suggérer d’activer l’option (voire de l’activer directement et prévenir à posteriori l’utilisateur).

En tout cas, n’oubliez pas d’activer le mode HTTPS permanent sur votre compte Gmail, sous peine de la perdre…

Mise à jour : un petit problème de maquettage avait fait disparaître une partie du premier paragraphe…

Tags: Google

Ce billet a été mis en ligne par Horacio Gonzalez le 20-08-2008 à 23:37. Vous pouvez suivre les commentaires en utilisant ce feed RSS 2.0. Vous pouvez laisser un commentaire, ou faire un retrolien depuis votre site.