Sécurisez votre compte Gmail !

21 août 2008 à 17h36
0
012C000000671636-photo-gmail-logo-300x75.jpg
Peut-être pensiez-vous que le mot de passe de votre compte Gmail était assez complexe pour sécuriser vos précieux messages... et bien détrompez-vous! En effet, plusieurs experts en sécurité informatique ont réussi à pirater un compte Gmail et selon eux, il est impératif d'activer l'option de connexion sécurisée en « https ».

Mais comment procèdent-ils ? Lorsque vous vous connectez à votre compte Gmail, les serveurs de Google placent sur votre ordinateur un petit fichier texte (cookie) contenant votre nom d'utilisateur et votre mot de passe. Ce cookie permet d'identifier votre machine comme ayant fourni la bonne combinaison de connexion afin d'étendre votre session jusqu'à deux semaines si vous ne vous déconnectez pas manuellement. Ce cookie est envoyé à chaque requête de page web, il est donc à la portée de hackers utilisant des « sniffers », ces petits programmes analysant les données transmises entre votre ordinateur et Internet.

Les personnes averties se contentent généralement de modifier l'adresse Internet du webmail en se rendant sur https://mail.google.com afin d'établir une connexion sécurisée. Cependant, Mark Perry, expert en la matière, affirme que même si ce cookie est désormais encodé, ce dernier n'en reste pas moins toujours transmis au serveur de Google. Certes, les choses se compliquent pour le hacker. Il lui faudrait par exemple pénétrer votre réseau local, ou choisir une victime dans un cyber-café. Puis, cette personne malintentionnée devrait encore forcer votre navigateur à charger un contenu provenant de http://mail.google.com. Vous repasseriez donc sur une connexion non sécurisée et le cookie contenant votre nom d'utilisateur et votre mot de passe pourrait à nouveau être intercepté. Perry explique au Washington Post que : « cela donne aux utilisateurs surfant sur une connexion https:// une fausse impression de sécurité, ils pensent être protégés mais en réalité ils ne le sont pas. ». Perry explique que d'autres sites tels que Facebook ou Amazon sont tout aussi exposés.

Sandro Gauci, expert et consultant en sécurité informatique, s'était déjà penché sur la question. Il a publié une vidéo qui témoignerait du piratage d'un compte Gmail en temps réel:

.

L'outil de sniffing utilisé, SurfJack, est mis à disposition en téléchargement... sur Google Code.

Mark Perry aurait prévenu Google l'année dernière mais ce dernier n'a réagi que le 24 juillet dernier en ajoutant une nouvelle option aux comptes Gmail ; il s'agit d'une petite fonctionnalité forçant une connexion sécurisée permanente en mode « https » au lieu de « http ». Il est donc fortement conseillé d'activer cette option que vous retrouverez dans Paramètres > Général > Connexion au navigateur.

01557974-photo-httpsgmail.jpg


Notez que si vous utilisez un nom de domaine personnel sur Google Apps, la connexion est automatiquement sécurisée en « https ».
Modifié le 01/06/2018 à 15h36
Soyez toujours courtois dans vos commentaires.
Respectez le réglement de la communauté.
0
0

Actualités du moment

De la photographie à la 3D avec Microsoft Photosynth
IDF 2008 : le point sur la roadmap 2008/2009
IDF 2008 : une puce pour rendre le multiGPU universel
IDF 2008 : Ultra-mobilité et Wow sur Intel Atom
IDF 2008 : Steve Wozniak assure le show
MobileMe : Clubic.com teste le service web d'Apple
Pro 4000 et Pro 8000 : TomTom dévoile ses nouveaux GPS autonomes pour professionnels
TeleObs serein au sujet de son magnétoscope numérique
BitDefender : la gamme 2009 est disponible
Firefox 2.0 bientôt la migration de masse
Haut de page