Defcon 21 : l'accès simplifié aux services Google pointé du doigt

Sur la conférence Defcon de Las Vegas (du 1er au 4 août 2013), une présentation a montré comment un attaquant pouvait récupérer, via une app Android, les éléments d'authentification aux comptes d'accès des services Google pour consulter les données de leurs utilisateurs et se faire passer pour eux.

Selon un chercheur en sécurité intervenant sur la conférence Defcon de Las Vegas, samedi dernier, un attaquant peut exploiter la fonction d'authentification dont les utilisateurs de terminaux Android se servent pour les services Google (sans avoir besoin de redonner leur mot de passe) pour accéder à leurs comptes. Cette fonction, dénommée weblogin, génère un token qui peut être utilisé directement pour authentifier les utilisateurs sur les sites de Google en se servant des comptes qu'ils ont déjà configurés sur leurs terminaux. Weblogin facilite ainsi le passage d'un service à l'autre, mais il peut potentiellement compromettre la confidentialité et la sécurité des comptes personnels, de même que les comptes Google Apps utilisés par les entreprises, a indiqué Craig Young, expert de la société Tripwire spécialisée dans la sécurité, lors de son intervention sur Defcon.

Pour montrer la faisabilité de la manipulation, rapporte Lucian Constantin, notre confrère d'IDG News Service présent sur Defcon, Craig Young a créé une app « proof-of-concept » qui peut envoyer les tokens weblogin à un attaquant qui pourra ensuite les utiliser dans un navigateur web pour se faire passer pour l'utilisateur piraté sur les Google Apps, sur Gmail, Drive, Calendar, Voice ou d'autres services de Google. L'exemple fourni par Craig Young est une app permettant de consulter un cours d'action sur Google Finance. Elle a été publiée sur Google Play avec une mention explicite indiquant clairement qu'il s'agissait d'un élément malveillant ne devant pas être installé par les utilisateurs.

Un problème signalé à Google en février

Durant l'installation, l'app demandait la permission de trouver les comptes sur un terminal, de les utiliser et d'accéder au réseau. Lorsqu'elle s'exécutait, elle affichait une autre demande pour accéder à une URL commençant par weblogin et incluant finance.google.com. Cette deuxième sollicitation n'indique rien de particulier et la plupart des utilisateurs sont susceptibles de l'accepter, a assuré Craig Young. S'ils le font, un token weblogin est généré et les utilisateurs sont automatiquement enregistrés dans le site Google Finance. Mais, dans le même temps, le token est détourné par le biais d'une connexion chiffrée vers un serveur contrôlé par l'attaquant. Le problème, c'est que le token ne fonctionne pas seulement avec Google Finance, mais également avec tous les autres services de Google, souligne l'expert de Tripwire. Par exemple, l'attaquant peut accéder aux documents de l'utilisateur dans Drive, ainsi qu'à ses courriels dans Gmail, aux rendez-vous saisis dans Calendar, à l'historique des recherches sur Google Web, de même qu'à toutes informations sensibles pouvant être conservées dans les Apps.

Ce problème a été signalé à Google en février et ce dernier a commencé à bloquer certaines interventions qu'un attaquant aurait pu faire. Par exemple, un attaquant qui s'authentifierait par le biais d'un token weblogin ne peut plus utiliser le service Google Takeout pour vider les données d'un compte Google et ne peut plus ajouter d'utilisateurs à des Google Apps, quoiqu'il y ait là un autre moyen de procéder qui maintient cette action possible, selon Craig Young.
[[page]]
Par le biais de l'API Android ou d'un programme spécifique

L'app montrée par le chercheur en sécurité affiche la demande d'autorisation de weblogin parce qu'il utilise l'API Android standard pour obtenir le token. Toutefois, si elle utilise un programme développé à dessein pour récupérer les privilèges racines sur le terminal, elle sera capable de voler le token sans demander de confirmation à l'utilisateur. L'app est restée environ un mois sur Google Play avant que quelqu'un, sans doute, signale qu'il s'agissait d'un élément malveillant. Pendant toute cette période, rien n'a indiqué qu'elle avait été examinée par Bouncer, le service Google Play qui recherche les apps malveillantes sur la boutique de Google, selon Craig Young. Et si elle a été repérée par Bouncer, rien ne le signalait, ce qui soulève quelques inquiétudes sur l'efficacité du service.

Interrogé sur ce sujet jeudi dernier, Google n'avait pas encore fourni de réponse au moment de la publication de l'article. La plupart des antivirus pour Android fourni par des éditeurs connus n'ont pas non plus identifié l'app comme un malware. En revanche, une application veillant à la confidentialité a bien listé que l'app avait accès aux comptes, a précisé le chercheur.

Multiplier les verrous est l'une des parades

« La présentation d'aujourd'hui a montré qu'avec un peu d'ingéniosité et quelques efforts, on peut facilement contourner des systèmes qui semblent bien protégés », a commenté Alexandru Catalin Cosoi, responsable de la sécurité du fournisseur d'antivirus Bitdefender, interrogé par notre confrère d'IDG News Service.

La seule façon de prévenir ce type d'actions est d'augmenter le coût des attaques, de façon à ce que, lorsqu'un verrou est franchi, il s'en trouve un nouveau qui nécessite d'être à son tour ouvert, a indiqué A. Cosoi. On trouve régulièrement des failles. Pour améliorer des systèmes comme Bouncer, il faut faire des recherches continuelles et rendre les attaques plus difficiles afin qu'elles soient abandonnées.

Les entreprises ne devraient pas autoriser leurs administrateurs informatiques à utiliser des comptes Google sur leurs terminaux sous Android s'ils sont aussi des administrateurs de Google Apps, estime de son côté Craig Young, de Tripwire.