Google laisse s’échapper login et mots de passe des internautes
La liste noire des sites de phishing publiquement délivrée par Google
exposait des informations confidentielles. Google a corrigé le problème.
Google a involontairement dévoilé des informations confidentielles sur nombre d’internautes référencés dans sa liste noire antiphishing. Cette liste est utilisée par l’extension Google Safe Browsing du navigateur Firefox. Elle est également exploitée au sein de la barre d’outils Google dédiée au navigateur de la Fondation Mozilla. C’est ce que révèle aujourd’hui, lundi 22 janvier 2007, la société Finjan spécialisée en sécurité.
Le centre de recherche (Malicious Code Research Center) de la société californienne avait découvert, le 3 janvier 2007, la faille en examinant une liste d’adresses web (URL) publiques issues des serveurs du moteur de recherche. « Après avoir examiné les données de ces fichiers, Finjan a trouvé que des informations sensibles d’utilisateurs étaient disponibles en ligne sans aucune protection d’accès, témoigne Yuval Ben-Itzhak, responsable technique de la société.
Attenter à la vie privée
Les données librement disponibles exposaient notamment les adresses e-mails, les comptes et mots de passe de connexion ainsi que les jetons de sécurité » token » de session de navigation. Autant d’informations exploitables par des pirates et qui peuvent porter atteinte à la vie privée des victimes, notamment quand on sait que nombre d’internautes exploitent un même code et mode de passe commun pour l’accès à l’ensemble de leurs services en ligne.
Finjan a bien entendu immédiatement alerté Google de sa découverte. L’entreprise de Mountain View a aussitôt corrigé le problème et prévenu les utilisateurs affectés. On ignore combien de personnes en ont été affectées. Selon Finjan, il n’existe plus aucune fuite d’information sur la liste noire des sites de phishing. La firme de sécurité n’en recommande pas moins aux utilisateurs, notamment en entreprise, de diversifier ses login et mot de passe en fonction des services visités, d’éviter de partager ses habitudes de navigation avec des tiers, et de protéger son PC contre les virus et autres agents malveillants de type spyware. De simple conseils de bon sens trop souvent ignorés.