La sécurité chez Google est un élément essentiel que l’entreprise s’efforce constamment de maintenir. Dans ses nombreux services, elle s’attache à toujours ouvrir la porte du compte Google et à centraliser ainsi le contrôle. C’est précisément ce compte Google que l’on sait désormais vulnérable et qui peut être volé sans que l’on s’en rende compte.
Il est facile de voler un compte Google
Bien qu’il ne s’agisse pas d’un service directement utilisable, le compte Google est au centre de l’écosystème du géant de la recherche. Il garantit l’autorisation d’accéder à d’autres services et assure la sécurité de cet accès, qui est limité à l’utilisateur.
Une nouvelle faille a été découverte qui permet à des pirates de voler ces comptes Google très facilement. Il suffit pour cela de la présence d’un logiciel malveillant dédié à ce processus, qui pourra récupérer les cookies de session et ainsi accéder au compte de l’utilisateur s’il doit s’authentifier.
Un logiciel malveillant vole les cookies de Chrome
Essentiellement, et d’après ce qui est décrit, l’infusion de la clé des fichiers récupérés permet de répéter l’autorisation des cookies, en garantissant leur validité même après le changement de mot de passe. Avec cette information essentielle, l’accès au compte est garanti, ainsi qu’à toutes les données de l’utilisateur.
Les informations obtenues sont utilisées pour envoyer une requête à une API de Google, normalement utilisée par Chrome pour synchroniser les comptes sur différents services Google. En même temps, cela permet de créer des cookies Google stables et persistants, responsables de l’authentification qui peut être utilisée pour le compte. Dans ce cas, il n’est pas certain que l’authentification à deux facteurs offre une quelconque protection.
Les pirates vendent cette attaque
Le plus inquiétant est que ce processus de récupération peut être répété plusieurs fois sans que la victime ne sache jamais qu’elle a été compromise. Pire encore, même après avoir modifié le mot de passe du compte Google, le pirate peut à nouveau utiliser cette attaque pour accéder au compte.
Plusieurs groupes de pirates, au moins six, ont accès à cette vulnérabilité et l’ont mise en vente. Cette attaque a été annoncée pour la première fois à la mi-novembre. Malheureusement, certains de ces groupes affirment avoir déjà mis à jour les logiciels malveillants qu’ils vendent et qui exploitent cette vulnérabilité afin de lutter contre les mesures que Google a mises en place entre-temps pour protéger les utilisateurs.