Google est en train d’envoyer un correctif, pour que la récente faille découverte dans Google Calendar et Contacts soit bouchée. Picasa est en revanche toujours vulnérable.

Hier, nous vous expliquions que les services Google Calendar, Contacts et Picasa étaient vulnérables à une faille majeure. Elle concerne les ordinateurs, mais aussi près de 99% des terminaux Android. Pour la connexion à ces services, et pour éviter l’envoi de votre mot de passe et identifiant à chaque fois, un token vous est attribué. Normalement, une telle transaction doit s’effectuer en https, afin que personne ne puisse y accéder. Mais, il se trouve que les applications de Google sur les terminaux sous les versions d’Android 2.3.3 et inférieures demandent le token avec une connexion non sécurisée. Dans le cadre d’une connexion WiFi non sécurisée et si une personne malveillante sniffe le réseau, elle peut alors récupérer votre token et faire ce qu’elle souhaite pendant 2 semaines (durée de validité).

Google n’a pas tardé à corriger ce problème très important, puisqu’il annonce qu’une mise à jour est en cours de déploiement :

« Aujourd’hui, nous commençons à déployer une mise à jour, qui corrige une faille de sécurité qui pourrait, dans certaines circonstances, permettre un accès d’une tierce personne aux données disponibles dans les calendriers et contacts. Le correctif ne requiert aucune action de la part des utilisateurs et va être déployée au cours des prochains jours. »

Google s’attend à ce que l’ensemble du parc ait reçu le correctif dans la semaine. Le géant de Mountain View va également réinitialiser tous les tokens, afin d’invalider ceux qui auront potentiellement pu être récupérés. Il reste encore Picasa qui est toujours vulnérable, mais qui devrait être très rapidement corrigé. Le temps de réaction de Google est excellent, mais fait surtout suite à la mauvaise publicité générée. Cette information a notamment fait la une du Metro anglais.

En y regardant de plus près, ce problème était certes dangereux, mais les chances d’intercepter ce token étaient très faibles. En effet, il fallait à la fois être sur un réseau non sécurisé, qu’une trame circule sur cette période et qu’une personne malveillante cherche précisément ce token.

Source : All things digital