 |
Menu |
 |
Site optimisé pour :
|
|
Qui est en ligne ? |
|
|
Statistiques |
|
Sur le Forum ZenZone
Membres : 3774
Dernier Inscrit :
nicolas78
79617 Messages
dans 9887 Sujets.
|
|
ZenZone IRC |
|
Total : 3296225
Annee : 5429
Mois : 5429
Jour : 171
3.17.76.163
|
 |
GMail, la méssagerie de Google, touchée par une vulnérabilit |
|
 |
| Auteur |
Message |
Titine
ZenAdmin
Anniversaire : 14 Nov
Zodiaque: 
Sexe: 
Inscrit le: 15 Déc 2003
Messages: 12462
Localisation: «« Tout Près des Etoiles »»
Citer
|
 Posté le: Dim Jan 16, 2005 16:01
 Sujet du message: GMail, la méssagerie de Google, touchée par une vulnérabilit
|
 |
|
Une vulnérabilité permettant de compromettre la confidentialité d’emails sur Gmail a été annoncée hier matin.
A l’heure ou la Silicon Valley se réveille, les ingénieurs du géant américain sont sur le pied de guerre. Il aura fallu a peine une heure aux équipes techniques de Google pour corriger la faille.
Le problème aurait été découvert par hasard par deux hackers du groupe HBX alors qu’ils faisaient des tests d'envoi de messages automatisés vers leurs boites de messagerie sur Gmail.
L’un d’entre eux aurait omis une erreur dans son code qui aurait révélé une faille sur le portail de messagerie de Google.
Après avoir fourni les détails du problème sur son site, Michael Wally aurait posté la nouvelle sur SlashDot et n’auraient pas pris soin d’avertir les équipes du célèbre moteur de recherche :
« Nous n’avons aucune trace d’une quelconque notification de leur part » nous précise le patron de la sécurité de Google.
Rien de bien méchant toutefois.
La faille, dont les détails son fournis ci-dessous, permettrait, a partir d’un e-mail dont les en-têtes ont été spécialement modifiées, d’inclure le message qui suit dans la queue du serveur de messagerie.
Ce second message, n’est donc pas acheminé vers son destinataire original mais encapsulé dans les en-têtes du premier.
Cette attaque bien qu’elle soumet des problèmes évidents de confidentialité et de disponibilité de service ne peut être spécifiquement destinée vers un utilisateur particulier.
Un ingénieur de la firme aurait pris connaissance de l’annonce alors qu’il surfait sur Slashdot et aurait pris soin de reporter le problème auprès des équipes d’ingénierie de Gmail et de sécurité de Google.
Selon le chef de la sécurité, il n’aura alors fallu que peu de temps pour isoler le problème et le fixer :
« Nous avons été capable d’identifier la source du problème et soumettre une solution temporaire en un peu moins d’heure ».
| Citation: | Détails techniques
Lors de l’envoi d’un email au travers du protocole SMTP, outre le corps du message lui-même, des informations supplémentaires sont véhiculées. Ces informations sont stockées dans les « en-têtes » du message et bien que la plupart des informations soient inconnues des utilisateurs elles permettent de fournir de nombreux éléments sur l’acheminement du message électronique.
Quelques en-têtes sont bien connus, telles que le champ « émetteur », « destinataires » ou encore l’heure d’émission du courrier. Ces informations sont extraites par les clients de messagerie, qui prennent soin de faire abstraction de la totalité des informations transmises.
Ainsi lorsqu’un client se connecte sur le service SMTP (TCP port 25) du serveur de messagerie il envoie les champs suivants :
HELO Serveur # Le client se présente d’abord
MAIL FROM : < foo_bar@vulnerabilite.com > # L’émetteur du message
RCPT TO : < john_doe@gmail.com > # Le destinataire
DATA # Marque le début des données
SUBJECT: Ceci est le Sujet # Le sujet du message
Voici le contenu de l’email. # Le contenu du message
. # Marque la fin du message
Chaque champ est transmis en attente de la réponse du serveur. Ainsi une source ou une destination non valide renvoie un message d’erreur. C’est ainsi que des implémentations simples d’anti-relaying sont mises en oeuvre.
Le problème soulevé par Michael Wally aurait été découvert alors qu’il tentait d’envoyer des e-mails au travers de scripts automatisés. Aussi, il aurait omis par mégarde le caractère « > » en fin de ligne de la source de l’email.
Le serveur de messagerie de Gmail en attente du caractère « > » qui marque la fin du champs émetteur, encapsulerait donc le message suivant, qui lui contient un « > » en fin du champs émetteur et l’intégralité de son contenu dans les en-tête du premier message. |
Par Norman Girard pour Vulnerabilite.com
|
|
|
 |
|
 |
| Auteur |
Message |
wal
Maitre Zen
Inscrit le: 08 Déc 2004
Messages: 657
Citer
|
Posté le: Dim Jan 16, 2005 18:13
Sujet du message:
|
|
|
merci pour l'info
_________________
L'erreur est humaine mais le pardon est divin.
athéna exclamation!!!
|
|
|
| Auteur |
Message |
aketo
Bouddha Zen
Anniversaire : 05 Jan
Zodiaque: 
Sexe: 
Inscrit le: 23 Juin 2004
Messages: 1638
Localisation: avenue zenzone 39210 emule banlieue sud
Citer
|
Posté le: Dim Jan 16, 2005 19:17
Sujet du message:
|
|
|
je prend note merci
_________________
Sleon une édtue de l' uvinertisé de Cmabrigde, l'odrre des ltteers dnas un mtos n'a pas d'ipmrotncae, la suele coshe ipmrotnate est que la pmeirère et la drenèire soit à la bnnoe pclae. Le rsete peut êrte dnas un dsérorde ttoal et vuos puoevz tujoruos lrie snas porlblème. C'est prace que le creaveu hmauin ne lit pas chuaqe ltetre elle-mmêe, mias le mot cmome un tuot.
|
|
|
|
|
|
| Auteur |
Message |
mouton63
Bouddha Zen
Anniversaire : 09 Mai
Zodiaque: 
Sexe:
Inscrit le: 26 Juil 2004
Messages: 3451
Localisation: dans mes montagnes
Citer
|
Posté le: Lun Jan 17, 2005 07:51
Sujet du message:
|
|
|
quand je pense que pour certains il suffit seulement d'une heure pour corriger une faille alors que pour d'autres il faut plusieurs mois (voyez de qui je parle?!) 
_________________
respecter les autres c'est se respecter soi même.
|
|
|
| Page 1 sur 1 |
|
Vous ne pouvez pas poster de nouveaux sujets dans ce forum
Vous ne pouvez pas répondre aux sujets dans ce forum
Vous ne pouvez pas éditer vos messages dans ce forum
Vous ne pouvez pas supprimer vos messages dans ce forum
Vous ne pouvez pas voter dans les sondages de ce forum
|
|
|
|
|
|
|
|
Accueil
eMule
Forum
Rechercher
Se Connecter
Devenir Membre
FaQ
Tutoriels
Telechargement
Chat IRC
Jeux Flash
