Tromper le destinataire d’un email en se faisant passer pour quelqu’un d’autre est possible grâce à un bug.
Yan Zhu est une spécialiste de la sécurité qui travaille pour l’Electronic Frontier Foundation (EFF) et le Massachusetts Institute of Technology (MIT). Elle a découvert un bug dans l’application mobile Gmail pour Android permettant de tromper un destinataire en se faisant passer pour n’importe qui.
Un bug qui n’est pas une faille de sécurité
Concrètement, dans les paramètres d’un compte, il est possible de changer le nom d’affichage de l’expéditeur. Pour utiliser le bug, il suffit de spécifier un nom puis d’ajouter une adresse email de confiance entre deux ensembles de guillemets, par exemple « Admin « »security@google.com » » ». En raison du bug, masquant l’adresse email réelle de l’expéditeur est masquée et c’est celle comprise dans le second ensemble de guillemets qui est affichée.
De fait, n’importe qui peut se faire passer pour quelqu’un d’autre dans le but de tromper un destinataire, par exemple pour lui demander des informations bancaires ou sensibles sur un site frauduleux.
Le plus surprenant est que bien que ce bug soit très dangereux, Google considère qu’il ne s’agit « pas vraiment d’une alerte de sécurité ».
On lui recommande de se faire passer pour l’un des fondateurs de Google
Vu que Google ne semble pas vouloir prendre très au sérieux le bug découvert par Yan Zhu, elle l’a publié sur Twitter. Les réponses ont été surprenantes !
Par exemple, on lui a suggéré de réécrire à Google, mais en utilisant le bug en question pour se faire passer pour l’un des fondateurs de Google, une initiative qui pourrait rendre son problème sérieux aux yeux de l’équipe de sécurité, donc l’inciter à corriger le bug.
Est-ce un bug grave de Gmail à vos yeux ?