Un chercheur a découvert une faille critique dans la procédure de récupération des comptes Google. En quelques minutes, il était possible d’obtenir le numéro de téléphone de récupération d’un compte Gmail, sans alerter la victime. Le bug a depuis été corrigé, mais ce n’est pas la première fois que Google laisse passer une faille de ce type.
On a tendance à l’oublier, mais sur Internet, un numéro de téléphone est au moins aussi sensible qu’un mot de passe. Et pour cause, il est régulièrement utilisé pour retrouver l’accès à un compte en cas de problème. C’est ce qui rend la faille découverte par le chercheur indépendant brutecat aussi inquiétante. En exploitant un bug dans le système de récupération de compte Google, il a pu identifier le numéro de téléphone associé à presque n’importe quelle adresse Gmail, sans même avoir besoin d’accéder au compte en question, ni d’interagir avec la victime. Une opération rapide, silencieuse et automatisable, qui aurait pu ouvrir la voie à des campagnes de piratage ciblées. Alertée en avril, Mountain View a corrigé la vulnérabilité avant sa divulgation publique.
Une faille dans le processus de récupération de compte
C’est ce qu’on pourrait appeler une découverte parfaitement fortuite. Initialement, brutecat voulait simplement tester quelques services Google sans JavaScript, histoire de voir ce qui tourne encore sans scripts dans un navigateur en 2025. Pas grand-chose, évidemment. Sauf… le vieux formulaire de récupération d’identifiants, toujours fonctionnel, et manifestement un peu oublié des équipes de sécurité.
Un détail d’autant plus surprenant que ce type d’interface sensible repose normalement, depuis 2018, sur des protections anti-abus générées en JS – des scripts volontairement opaques censés bloquer toute requête automatisée.
Curieux, il pousse l’expérience un peu plus loin, et s’aperçoit que ce formulaire réagit différemment selon que les informations soumises – un nom complet et un numéro de téléphone – correspondent ou non à un compte Google existant. Il ne lui en faut pas plus pour monter une chaîne d’étapes techniques consistant à extraire le nom complet lié au compte, contourner le CAPTCHA anti-bot, et développer un script capable de tester 40 000 combinaisons nom/numéro à la seconde, jusqu’à tomber sur la bonne.
À ce rythme, il lui aura fallu en moyenne une vingtaine de minutes seulement pour retrouver un numéro américain, quatre minutes pour le Royaume-Uni, quinze secondes pour les Pays-Bas, à peine cinq pour Singapour.
Un risque concret pour la sécurité des comptes et des personnes
Évidemment, l’accès à ce type de données privées peut suffire à déclencher une cascade d’attaques. Connaître le numéro de téléphone lié à un compte permet par exemple de tenter un SIM swap, technique qui consiste à détourner une ligne mobile pour en récupérer les SMS, et donc les codes d’authentification et/ou de réinitialisation. Le numéro peut aussi servir à recouper l’identité réelle derrière un compte supposément anonyme, ou à cibler un individu spécifique via des campagnes de phishing sur mesure.
Ce n’est pas la première fois que brutecat met en lumière les failles des services Google. En février dernier, le chercheur avait déjà découvert une vulnérabilité exposant les adresses mail associées à des chaînes YouTube anonymes. En combinant deux API – l’une liée à la gestion des blocages sur YouTube, l’autre à l’outil Pixel Recorder – il était possible de convertir un identifiant interne (Gaia ID) en adresse mail. Google avait mis plus de quatre mois à corriger cette faille, initialement sous-évaluée et mal récompensée, avant de revoir sa copie.
Cette fois-ci, Google s’est montrée un peu plus réactive. Alertée mi-avril, l’entreprise a confirmé la faille quelques jours plus tard, déployé des mesures correctives dans les semaines qui ont suivi, désactivé définitivement le formulaire vulnérable début juin, et récompensé brutecat à hauteur de 5 000 dollars dans le cadre de son programme de bug bounty – non sans avoir quand même tenté de minimiser le risque d’exploitation. Naturellement.
Source : brutcat
