Google met à jour son outil de recherche locale

Cloud

Une faille de sécurité découverte dans le logiciel de recherche Google Desktop Search a amené son éditeur à corriger le tir.

Il semble que Google ait été un peu présomptueux en garantissant la confidentialité des informations aux utilisateurs de Google Desktop Search, son outil de recherche de fichiers en local et sur le Web lancé en octobre dernier (voir édition du 15 octobre 2004). Une faille, découverte en novembre dernier par des chercheurs en informatique de l’Université Rice et révélée le 20 décembre par le New York Times, permettrait en effet de lire à distance le contenu d’une page de résultats d’une recherche faite sur le disque dur. Les chercheurs précisent cependant que l’accès aux documents eux-mêmes reste impossible mais que des indications sur leur contenu, notamment des données confidentielles comme des mots de passe, peuvent être visibles.

Le scénario d’un éventuel vol de données via cette faille est suffisamment complexe pour le rendre peu probable. L’utilisateur devra visiter une page Web sur laquelle une personne malintentionnée aura placé une applet Java (une mini-application intégrée dans la page) destinée à tromper le logiciel et à lui faire afficher les résultats de la recherche locale. Dès lors, l’applet est potentiellement en mesure de transmettre les informations recueillies vers un serveur. Le risque existe également, toujours selon les chercheurs de l’université américaine, pour les ordinateurs utilisant des connexions sans fil Wi-Fi, notamment dans les lieux publics.

Mise à jour automatique

Google a été avertie du problème fin novembre par les universitaires, soit près d’un mois avant les révélations du New York Times. Pour savoir si votre version du logiciel est affectée par cette faille, il suffit de cliquer sur l’icône dans la barre des tâches de Windows et de sélectionner l’item « About » : seules les versions antérieures au 10 décembre 2004 (121004) sont affectées. Mais si tel est votre cas, pas de panique : le module de mise à jour automatique du logiciel se chargera de colmater la brèche.