TENDANCES
Comparateur
- AUTO
Une faille de sécurité découverte dans le système de récupération de compte Google permettait d’obtenir le numéro de téléphone de n’importe quel utilisateur, sans alerter ce dernier. Google a corrigé cette vulnérabilité après le signalement d’un chercheur en sécurité.
Le chercheur, connu sous le pseudonyme Brutecat, a partagé ses découvertes sur son blog. En exploitant une faille dans la fonctionnalité de récupération de compte de Google, il a réussi à obtenir les numéros de téléphone associés aux comptes. Son attaque reposait sur une série d’étapes combinant plusieurs techniques. D’abord, il parvenait à récupérer le nom complet d’un compte ciblé. Ensuite, il contournait une protection anti-bot conçue pour limiter les requêtes de réinitialisation de mot de passe.
En désactivant cette limite de requêtes, Brutecat a pu tester toutes les combinaisons possibles de numéros de téléphone en un temps record. Grâce à un script automatisé, il estimait pouvoir identifier un numéro de récupération en 20 minutes ou moins, selon la longueur du numéro. Cette rapidité rendait la faille particulièrement dangereuse, surtout pour les comptes anonymes ou sensibles.
L’exposition d’un numéro de téléphone de récupération peut avoir des conséquences graves. Un hacker pourrait, par exemple, lancer une attaque de type « SIM swap » pour prendre le contrôle du numéro de téléphone. Une fois ce numéro sous son contrôle, il deviendrait possible de réinitialiser les mots de passe des comptes associés en interceptant les codes de réinitialisation envoyés par SMS. Ce type d’attaque représente une menace sérieuse, notamment pour les comptes Google contenant des données personnelles ou professionnelles sensibles.
Google a réagi après le signalement de Brutecat. Une porte-parole de l’entreprise a confirmé à TechCrunch que la faille était corrigée, déclarant : « Ce problème a été résolu. Nous valorisons notre collaboration avec la communauté des chercheurs en sécurité via notre programme de récompenses pour les vulnérabilités, et nous remercions le chercheur pour avoir signalé ce problème ».
La porte-parole a ajouté qu’aucune exploitation confirmée de cette faille n’avait été détectée à ce jour. Pour sa découverte, Brutecat a reçu une récompense de 5 000 dollars dans le cadre du programme de bug bounty de Google.
PayPal franchit une nouvelle étape en s’associant à Selfbook, un fournisseur de solutions de paiement pour hôtels. Cette...
YouTube Music, la service de streaming musical de Google, intensifie sa stratégie publicitaire pour les utilisateurs de la version gratuite. En...
Une faille de sécurité découverte dans le système de récupération de compte Google permettait d’obtenir le...
Venez suivre avec nous la Keynote de ce 9 juin qui aura lieu sur le campus d’Apple , dès 18h30 (heure Française) sur notre page...
Marvel propose aujourd’hui une nouvelle bande-annonce pour sa série Ironheart qui fera ses débuts sur Disney+ le 25 juin. Le...