Une deuxième alerte sécurité sur Google Desktop Search
Par : Cyril Fussy - lundi 26 février 2007 à 10:21
InfoWorld rapporte que des chercheur en sécurité ont décelé que le logiciel de recherche sur PC de Google, Google Desktop Search, est rendu vulnérable par plusieurs applications méconnues venant du web, appelées “anti-DNS pinning” ou pointage anti-DNS, offrant aux assaillants l’accès à toutes données indexées par Google Desktop.
Il s’agit de la deuxième alerte sécurité cette semaine concernant le programme. Mercredi dernier, des chercheurs de Watchfire avaient déclaré avoir trouvé une faille parmettant aux assaillants de lire des fichiers ou d’executer des programmes sur des systèmes utilisant Google Desktop.
Selon Robert Hansen, le chercheur indépendant qui a mis la faille en lumière, directeur général de Sectheory.com, la menace est particulièrement sérieuse: “toutes les données indexées par Google Desktop peuvent être aspirées sur les machines des assaillants” a-t-il déclaré.
Le mécanisme employé pour exploiter cette faille est connu des experts en sécurité sur serveurs. Ce sont des scripts inter-sites (Cross-site scripting) dont le fonctionnement est décrit ici sur le blog du chercheur. Google étudie cette faille le plus sérieusement du monde et prévient déjà que la dernière version de Google Desktop contient des couches de sécurité supplémentaires afin de renforcer sa protection.
Robert Hansen décrit cette vulnérabilité comme partie intégrante de la façon dont fonctionne le web, reposant sur le degré de confiance que l’on accorde à un site web pour venir chercher des informations sur son disque dur. Il décrit l’émergence de ces attaques comme bizarrement liée à l’annonce faite cette semaine par Google du lancement de Google Apps Premier Edition, un concurrent sérieux à Microsoft Office. Il précise que peu de systèmes de protection sont possibles face au pointage anti-DNS qui demande une maîtrise élevée de la technique, avec donc peu de probabilité que le pirate lambda s’y intéresse.
Pas de panique, mais méfiance tout de même.
Adapté d’un article de InfoWorld via Slashdot
Poster un nouveau commentaire