Google travaille en ce moment à l’éradication d’un bug, sur sa messagerie Gmail, qui permet à n’importe qui d’usurper l’identité d’un autre compte Gmail. Après avoir refusé de reconnaître l’existence du problème dans un premier temps, le groupe se décide à passer à l’action.
Ce bug Gmail, exploitable uniquement avec l’application Android du service de messagerie, avait été découvert depuis plusieurs jours par Yan Zhu, une chercheuse de l’EFF (Electronic Frontier Foundation) travaillant avec le MIT.
Au cours de ses recherches, elle avait découvert qu’un bug sur Gmail pour Android permettait à n’importe quel utilisateur de se faire passer pour quelqu’un d’autre, sans avoir besoin de connaissance poussées en informatique. Pour exploiter cette faille, il suffisait d’ajouter une fause adresse e-mail dans son nom, entre deux guillemets.
Pour démontrer le problème, elle a envoyé un mail avec le nom Yan « »security@google.com » » à une rédactrice du site spécialisé « Motherboard ». Résultat, au lieu de sa véritable adresse, c’est l’adresse « @google.com » qui avait été affichée au destinataire. En masquant sa propre adresse grâce au bug, elle pouvait faire croire que ce courrier était véritablement envoyé par un employé du groupe de Mountain View.
Mais malgré cette découverte assez importante, Yan Zhu a été ignorée à plusieurs reprise par les responsables sécurité de Gmail.
Après un échange de plusieurs mails avec l’équipe de sécurité, qui refusait d’admettre que ce bug existait bel et bien, la chercheuse s’est résolue à rendre le problème publique en contact la presse Nord-Américaine.
Ce n’est qu’à ce moment là que Google a pris conscience qu’il s’agissait bel et bien d’une menace importante, et pas simplement d’un rapport de bug mal informé sur son application.
Prenant contact avec le même site Motherboard cette semaine (Mardi 17 Novembre), un porte-parole de Google a déclaré :
« Nous apprécions le rapport de cette chercheuse et nous nous occupons du problème souligné dans l’application Gmail pour Android. »
Interrogée après cette annonce, Yan Zhu a avoué qu’elle a été surprise et déçue par le refus de Google de faire face à la réalité et d’accepter son rapport. Et ce, malgré les explications données à l’équipe de sécurité du groupe, faites « au moins à trois reprises, avec captures d’écran ».
