Il y a maintenant quelques jours, un mathématicien, nommé Zachary Harris, a réussi à dénicher une petite faille de sécurité dans le service de messagerie Google.

Pour la petite histoire, non content d’avoir reçu une réponse négative (ndlr : ceci est une supposition au vu de la suite de l’histoire) de la part du recruteur de chez Google, Zachary s’est empressé d’analyser l’email de réponse et c’est à ce moment qu’il y découvrit une faille de sécurité.

En effet, après une analyse du service mail de Google et plus précisément du service de chiffrement et d’identification des mails, nommé DKIM, ou pour les intimes DomainKeys Identifed Mail, Zachary Harris a alors trouvé que ce service d’identification était faiblement sécurisé.

Le DKIM est une norme d’authentification du nom de domaine de l’expéditeur d’un courrier électronique. Cet outil fonctionne grâce à une signature cryptographique du corps de message et d’une partie de ses en-têtes (source : Wikipedia). Toutefois ce cryptage parait vulnérable et faible, puisque le cryptage s’effectue en 512bits.

Cette petite faille permettrait au plus grand des spammers ou autres pirates désireux de faire du phishing de faire passer leurs faux emails pour ceux des compagnies concernés.

Une petite faille qui ouvre donc une immense voie aux spammers et compromet ainsi les plus grands services de messagerie. En effet, la faille a été trouvée sur le service de Google, mais d’autres services Web comme Yahoo, Apple, PayPal, Amazon, eBay et bien d’autres.

MAJ : Microsoft, Yahoo et Google ont annoncé avoir supprimé et renforcé leurs sécurités concernant l’authentification des mails.

Source : The Verge