au sommaire
Google Gmail était trop bavard : faille de sécurité
Il suffisait d'envoyer un courrier malformé à sa propre adresse GmailGmail pour y découvrir, au petit bonheur la chance, des morceaux d'emails d'autres utilisateurs. GoogleGoogle a rapidement corrigé la vulnérabilité et, aussi amusant soit-il, le jeu n'est désormais plus possible.
L'affaire a été révélée par des utilisateurs américains alors qu'ils testaient le script d'envoi de leur newsletter. Buggé, le programme expédiait des courriers légérement non-standards, ce dont personne s'était aperçu jusqu'alors. Mais à la réceptionréception de leur newsletter sur un compte Gmail, cette dernière contenait non seulement leur propre courrier, mais aussi ceux de plusieurs autres utilisateurs du webmail !
Le fautif serait une mauvaise validation du champ 'From:' des emails. En omettant de fermer une balise, Gmail intégrait tout le contenu qu'il trouvait jusqu'à ce qu'il rencontre enfin une balise fermante, généralement dans le prochain mail correctement formé.
Bien sûr, puisqu'il est impossible de savoir quand la prochaine balise fermante apparaîtra dans un autre courrier, il n'était pas possible de cibler un utilisateur ou même un contenu particulier. Un pirate éventuel ne pouvait donc se fier qu'au hasard pour espérer découvrir des informations confidentielles. L'attaque n'était pas très efficace donc, même si le risque, lui, était bien réel. Les voyeurs, quant à eux, devaient être ravis !