Email : Google, Yahoo! et Microsoft corrigent une vulnérabilité

25 octobre 2012 à 13h13
0
Google, Microsoft et Yahoo! ont corrigé une vulnérabilité au sein de leur messagerie. Cette dernière permettait à un hacker d'usurper un message en trompant le mécanisme de vérification.
0064000004187298-photo-securit-internet-logo-sq-gb.jpg

Créée en 2004, la norme d'authentification DKIM (DomainKeys Identified Mail) permet d'associer un nom de domaine à un email en ajoutant une signature électronique dans l'en-tête du message. Elle est donc généralement considérée comme garante de l'origine d'un courrier. Google, Microsoft ou encore Yahoo adopte ce système de sécurité au sein de leur messagerie, ce qui leur permet de mieux discerner les spams des emails légitimes.

Pourtant ce mécanisme n'est pas infaillible, c'est en tout cas ce que rapporte le groupe US-CERT (United States Computer Emergency Readiness Team) rattaché au Département de la Sécurité intérieure du pays. Plus précisément l'organisme explique que les signatures disposant de moins de 1024 bits ne seraient pas assez sécurisées, ces dernières (384 bits, 512 bits et 768 bits) pouvant être générées par un hacker souhaitant usurper l'identité d'un tiers pour envoyer un message frauduleux contenant un lien vers un site de phishing par exemple.

C'est le mathématicien Zachary Harris qui a discerné la faille en recevant un email d'un chasseur de tête de Google. Intrigué par cet email, il a entrepris de l'analyser et a découvert que Google utilisait une signature chiffrée en 512 bits pouvant facilement être falsifiée. Le magazine Wired rapporte les propos de M. Harris lequel explique : « je trouvais ça marrant, je voulais vraiment résoudre cet énigme et prouver que je pouvais le faire ». Il a donc envoyé directement un email aux deux fondateurs de Google Larry Page et Sergey Brin en leur expliquant ses découvertes.

« Je peux faire une signature en 384 bits sur mon ordinateur portable en 24 heures », explique Zachary Harris en ajoutant qu'il est possible d'en faire une de 512 bits en 72 heures en utilisant les serveurs d'Amazon Web Services moyennant 75 dollars. Deux jours après l'envoi de son message, Google avait opté pour des signatures chiffrées en 2048 bits. Yahoo! et Microsoft ont également corrigé cette vulnérabilité.
Modifié le 01/06/2018 à 15h36
0
0
Partager l'article :

Les actualités récentes les plus commentées

L'attaque d'un hôpital par ransomware pourrait tourner en homicide après la mort d'une patiente allemande
Allongé et endormi
Microsoft rachète Bethesda Softworks et l'ensemble de ses studios
Le Royaume-Uni devrait interdire les ventes de voitures thermiques en 2030
Airbus dévoile ses trois concepts d'avion à hydrogène, opérationnel d'ici 2035
Microsoft Flight Simulator dévoile son plan de vol pour les futurs développements
Batteries de voitures : et si on allait plutôt chercher les matériaux au fond des océans ?
Déjà en rupture de stock, les NVIDIA RTX 3080 se vendent à prix d'or sur eBay
Cyberpunk 2077 : CD Projekt RED dévoile les configurations PC requises
Après Bethesda, Microsoft tease, déjà, un autre rachat à venir ?
scroll top