En plus de la tendance lancée par Twitter, Gmail a lancé le mois dernier sa propre coche bleue, un indicateur d’identité conçu pour améliorer la confiance dans les e-mails qui proviennent d’entreprises et d’entités bien connues ; cependant, la marque Gmail s’est avérée tout aussi peu fiable que celle de Twitter.
En théorie, la coche bleue Gmail apparaît à côté du nom des expéditeurs dont l’identité a été vérifiée ; indique que le courrier que nous avons reçu est fiable et qu’il a bien été rédigé par l’entité ou la personne qu’il prétend être. C’est un outil né pour lutter contre le soi-disant “hameçonnage”une technique qui consiste à se faire passer pour un autre utilisateur, en utilisant le même nom, la même marque et le même style pour les emails.
Un exemple classique de « hameçonnage » est un faux message de la banque, qui indique au client qu’il va recevoir un virement, ou qu’il y a un problème avec son compte, et qu’il doit entrer le mot de passe pour terminer le processus. Bien sûr, tous ces e-mails recherchent est obtenir des données d’accès des utilisateurs pour voler leur argent, mais il existe d’autres faux e-mails plus difficiles à détecter, et c’est là qu’intervient la nouvelle marque bleue. Du moins, en théorie.
La coche bleue de Gmail n’est pas fiable
Et c’est qu’un expert en cybersécurité, @chrisplummer sur Twitter, a découvert qu’il est possible d’envoyer des e-mails marqués en bleu en se faisant passer pour une entreprise ou une personne ; et qu’en fait, les premiers faux messages apparaissent déjà dans les boîtes de réception des utilisateurs. Mais le pire de tout a été la réponse de Google selon laquelle tout fonctionnait comme il se doit et qu’ils n’allaient pas corriger le bogue qui vous permet d’obtenir une marque bleue sans être vérifié.
Selon le chercheur, un “bug” ou une défaillance du logiciel permet d’obtenir une marque bleue dans le courrier, sans qu’il soit nécessaire de l’obtenir de manière vérifiée. Bien qu’il n’ait pas précisé le problème spécifique, il a expliqué la technique utilisée : l’attaquant a envoyé l’e-mail via un compte Facebook, via un réseau au Royaume-Uni, à Office 365, au compte de messagerie de la victime. Tous ces sauts et redirections peuvent perturber le système, qui faire confiance au maillon le plus faible. Gmail est basé sur une spécification appelée BIMI (“Brand Indicators for Message Identification”), basée à son tour sur la norme DMARC, qui utilise diverses méthodes, telles que l’adresse IP, pour déterminer si le courrier est authentique.
La marque bleue de Gmail est née pour lutter contre les arnaques
Une partie de ce processus a échoué et il est possible d’envoyer des e-mails se faisant passer pour des entités connues. A titre d’exemple, le chercheur a montré un e-mail utilisant le logo UPS, la société de transport de colis. L’e-mail affiche le message typique “Votre colis arrive aujourd’hui”, avec un lien pour vérifier l’état de l’envoi ; mais l’e-mail est faux et le lien ne mène pas vraiment à la page UPS. Ce qui est inquiétant, c’est qu’il s’agit d’un e-mail malveillant typique, qui devrait être facile à détecter mais que Gmail fait passer pour réel.
Le chercheur a critiqué Google, pas nécessairement pour le problème (les bugs sont fréquents), mais pour sa réponse. La compagnie a d’abord nié que c’était un problème et a exclu l’acceptation du rapport de l’enquêteur ; Peut-être ne pas vous payer. Comme d’autres entreprises technologiques, Google dispose d’un système de “primes” qui offre de l’argent aux chercheurs qui signalent des bogues dans son logiciel ; mais à de nombreuses reprises, cela rend difficile l’acceptation immédiate des rapports. Ce n’est que lorsque le chercheur a publié les résultats de son enquête sur Twitter que Google a accepté le bogue. Dans une déclaration à 9to5Google, la société affirme qu’il s’agit d’une vulnérabilité tierce, qui a été utilisée pour faire apparaître les e-mails plus fiables qu’ils ne l’étaient en réalité. En réponse, Google affirme qu’il change la méthode d’authentification, exigeant une preuve “plus forte” de l’identité de l’expéditeur.
Cela peut vous intéresser
Suivez les sujets qui vous intéressent