Pour prévenir de nouvelles attaques de phishing par le biais de faux fichiers Docs contre les utilisateurs de Gmail, Google a annoncé un renforcement du système d’authentification OAuth. Celui-ci est exploité pour lier applications tierces et comptes Google.
La firme de Mountain View a fourni des détails supplémentaires concernant la manière dont elle prévoit de contrer les abus de son propre système afin de diffuser des emails de phishing. Une attaque la semaine dernière a illustré la capacité des pirates a exploiter une fausse app Google Docs.
Déjà des attaques abusant des faiblesses d’OAuth
L’application frauduleuse utilisait l’implémentation OAuth de Google pour demander l’accès aux comptes Google ciblés. Si les utilisateurs accordaient à l’app cet accès, le même email de phishing était alors expédié à ses contacts.
En principe, Google dispose déjà de mécanismes censés détecter ces attaques, dont de l’antispam basé sur de l’apprentissage automatique, son système Safe Browsing, ainsi que l’analyse virale des pièces jointes.
Ces protections se sont révélées insuffisantes. Google fait donc savoir à présent qu’il mettra à jour les règles d’utilisation pour le applications OAuth. Un cadre de la sécurité du géant, Mark Risher, précise ainsi que systèmes antispam vont évoluer, et le contrôle des apps tierces requérant des données utilisateur se durcira.
Officiellement, Google estime que 0,1% de ses utilisateurs ont été concernés par l’attaque de phishing. Cela représente tout de même 1 million de personnes.
Google a-t-il trop tardé à réagir pour bloquer des attaques de ce genre ? Des experts en sécurité rappellent que la technologie OAuth a déjà été détournée pour orchestrer des attaques de phishing. Le groupe de hackers russes Fancy Bear a notamment eu recours à cette technique.
Comme le souligne un spécialiste, Google aurait pu prévenir ces attaques en contrôlant plus minutieusement les développeurs s’enregistrant pour exploiter son mécanisme d’authentification OAuth.
Vos informations ne seront pas partagées