Eh bien, il n’aura pas fallu très longtemps ! Pas même un jour après ses débuts, une preuve de concept (POC) de vulnérabilité de Google Password Alert a été postée sur la toile, pointant du doigt la nouvelle initiative de Google pour protéger les mots de passe des utilisateurs, contre les tentatives de phishing par une nouvelle extension dans Chrome.
“Elle est incroyable”, a déclaré Paul Moore, un consultant en sécurité de l’information au Urity Group au Royaume-Uni qui a écrit sur cette faille. “La suggestion qu’elle offre un niveau quelconque de protection est risible”.
L’extension Password Alert sous Chrome, est censée être en mesure de garder un œil actif sur les tentatives de phishing, en balayant les bases de données de menaces connues, tout en les faisant fonctionner contre toutes les pages qui ont demandé un accès à votre compte Google pour vous connecter.
Corrigée, mais aussitôt piratée
Certains espéraient que l’extension pourrait ouvrir la voie à toute une gamme de solutions similaires pour d’autres services tiers, en particulier ceux qui, comme Facebook et Twitter, louent leurs connexions sur tout le Web. Mais, en retirant simplement le bloc JavaScript qui contrôle la bannière d’avertissement qui apparaît lorsqu’un site frauduleux est détecté, Moore était en mesure de tromper l’extension en laissant penser que le portail ciblé par l’extension est une ressource légitime.
Google a rapidement répondu à ce problème en mettant à jour son service, afin de bloquer cette vulnérabilité. Mais un jour après, Moore est revenu sur le devant de la scène avec une deuxième faille. Cette itération oeuvre pour rafraîchir la page après que chaque caractère est tapé, trompant le système d’alerte en pensant que le mot de passe complet n’a jamais été saisi.
Heureusement, Moore n’est pas un “méchant hacker”, et est davantage disposé à montrer à Google que son service n’est pas optimal. Inutile de dire que Google est sur le pont pour résoudre au mieux les soucis.
