Quatre nouvelles techniques permettant de voler les données personnelles des utilisateurs des services de la firme de Mountain View viennent d'être découvertes.

Quatre nouvelles techniques permettant de voler les données personnelles des utilisateurs des services de la firme de Mountain View viennent d'être découvertes.

Lesdites méthodes reposent toutes sur l'utilisation de la faille de sécurité qui touche de nombreux sites Web : le «Cross Site Scripting», ou XSS. Les garnements de la Toile peuvent utiliser le XSS pour exécuter du code malveillant en langage de script qui est ensuite utilisé par le navigateur Web lors de la visite d'une URL.

La plus sérieuse de ces vulnérabilités se trouve dans l'application étiquetée Google, qui permet de réaliser des sondages. Cette dernière est disponible depuis le groupe de discussion Google Groups. Cette faille permettrait de dérober des contacts, des courrielss et des comptes Gmail. Selon un porte-parole de Google la faille a été corrigée.

Des morceaux de codes malveillants utilisables ont été publiés sur le Web. Ils permettent de montrer les faiblesses des services de Google. D'après un ingénieur à l'origine de ces publications : «Si vous êtes bon en JavaScript, écrire un code capable d'exploiter ces vulnérabilités est un vrai jeu d'enfant.»

Quatre navigateurs sont touchés par ces vulnérabilités, IE, Firefox, Opera et Konqueror. Du moins lorsque les paramètres sont configurés par défaut et que l'utilisateur n'utilise pas d'extensions qui bloquent le JavaScript. Pour être touchée, la victime doit être identifiée sur Gmail.

La deuxième vulnérabilité concerne l'application Google Search. Il s'agit d'une solution que Google propose aux webmasters pour lancer des recherches internes. En créant une URL spéciale, un attaquant peut injecter du code et réécrire des pages d'un site tiers qui utilise cette appliance. Selon Google, près de 200 000 sites sont vulnérables à cette attaque.

La troisième vulnérabilité peut être utilisée pour dérober des photos stockées via le logiciel de gestion de retouche et de partage des images Picasa. Elle permet de rediriger l'utilisateur vers un site malveillant. Il s'agit d'un exploit très complexe qui utilise différentes techniques dont du XSS. Selon un porte-parole de Google, la vulnérabilité qui touche Picasa est difficilement exploitable et il recommande aux utilisateurs du service de ne pas télécharger de nouveaux boutons pour modifier l'aspect de l'application, car ils sont utilisés par les hackers pour diffuser du code.

La quatrième faille de sécurité a été découverte par Petko D. Petkov, un chercheur de GNU Citizen qui a publié sur son blogue une note selon laquelle une porte dérobée pourrait être installée sur les comptes Gmail en obligeant des utilisateurs à visiter une URL frauduleuse.

Ledit site contient un programme qui redirige les courriels envoyés depuis Gmail vers l'adresse «collect@evil.com». Petkov ne donne pas la preuve de concept de l'attaque, mais l'information semble fiable. Le danger de cette méthode est que les utilisateurs ne peuvent pas repérer l'attaque facilement, ils doivent se rendre dans la section «filtre» dans les paramètres de configuration de Gmail.