Selon un chercheur en sécurité intervenant sur la conférence Defcon de Las Vegas, samedi dernier, un attaquant peut exploiter la fonction d'authentification dont les utilisateurs de terminaux Android se servent pour les services Google (sans avoir besoin de redonner leur mot de passe) pour accéder à leurs comptes. Cette fonction, dénommée weblogin, génère un token qui peut être utilisé directement pour authentifier les utilisateurs sur les sites de Google en se servant des comptes qu'ils ont déjà configurés sur leurs terminaux. Weblogin facilite ainsi le passage d'un service à l'autre, mais il peut potentiellement compromettre la confidentialité et la sécurité des comptes personnels, de même que les comptes Google Apps utilisés par les entreprises, a indiqué Craig Young, expert de la société Tripwire spécialisée dans la sécurité, lors de son intervention sur Defcon.

Pour montrer la faisabilité de la manipulation, rapporte Lucian Constantin, notre confrère d'IDG News Service présent sur Defcon, Craig Young a créé une app « proof-of-concept » qui peut envoyer les tokens weblogin à un attaquant qui pourra ensuite les utiliser dans un navigateur web pour se faire passer pour l'utilisateur piraté sur les Google Apps, sur Gmail, Drive, Calendar, Voice ou d'autres services de Google. L'exemple fourni par Craig Young est une app permettant de consulter un cours d'action sur Google Finance. Elle a été publiée sur Google Play avec une mention explicite indiquant clairement qu'il s'agissait d'un élément malveillant ne devant pas être installé par les utilisateurs.

Un problème signalé à Google en février

Durant l'installation, l'app demandait la permission de trouver les comptes sur un terminal, de les utiliser et d'accéder au réseau. Lorsqu'elle s'exécutait, elle affichait une autre demande pour accéder à une URL commençant par weblogin et incluant finance.google.com. Cette deuxième sollicitation n'indique rien de particulier et la plupart des utilisateurs sont susceptibles de l'accepter, a assuré Craig Young. S'ils le font, un token weblogin est généré et les utilisateurs sont automatiquement enregistrés dans le site Google Finance. Mais, dans le même temps, le token est détourné par le biais d'une connexion chiffrée vers un serveur contrôlé par l'attaquant. Le problème, c'est que le token ne fonctionne pas seulement avec Google Finance, mais également avec tous les autres services de Google, souligne l'expert de Tripwire. Par exemple, l'attaquant peut accéder aux documents de l'utilisateur dans Drive, ainsi qu'à ses courriels dans Gmail, aux rendez-vous saisis dans Calendar, à l'historique des recherches sur Google Web, de même qu'à toutes informations sensibles pouvant être conservées dans les Apps.

Ce problème a été signalé à Google en février et ce dernier a commencé à bloquer certaines interventions qu'un attaquant aurait pu faire. Par exemple, un attaquant qui s'authentifierait par le biais d'un token weblogin ne peut plus utiliser le service Google Takeout pour vider les données d'un compte Google et ne peut plus ajouter d'utilisateurs à des Google Apps, quoiqu'il y ait là un autre moyen de procéder qui maintient cette action possible, selon Craig Young.