Google a lancé un avertissement de sécurité à ses 1,8 milliard d'utilisateurs de Gmail après qu'une vulnérabilité critique dans sa nouvelle fonction de sécurité récemment introduite ait été exploitée par des cybercriminels.
La fonction, connue sous le nom de système de coche Gmail, a été introduite le mois dernier pour aider les utilisateurs à identifier les entreprises et les organisations vérifiées grâce à une coche bleue, ce qui leur permet d'identifier plus facilement les messages provenant d'expéditeurs légitimes par rapport aux usurpateurs d'identité.
Cependant, des cybercriminels ont réussi à tromper le processus de vérification de Gmail, ce qui soulève des questions sur l'intégrité et la sécurité de la plateforme de messagerie.
Chris Plummer, ingénieur en cybersécurité du New Hampshire, a été le premier à remarquer cette vulnérabilité. Il a découvert que les escrocs usurpaient le nouveau système de Google “Brand Indicators for Message Identification”, ou BIMI, dans Gmail, rapporté d'abord par Forbes.
Pour les non-initiés, les indicateurs de marque pour l'identification des messages (BIMI) dans Gmail sont une fonctionnalité qui oblige les expéditeurs à utiliser une authentification forte et à vérifier le logo de leur marque afin d'afficher un logo de marque en tant qu'avatar dans les courriels.
Selon Plummer, il a reçu un courriel malveillant usurpé dans sa boîte de réception Google, qui était incorrectement coché pour montrer qu'il avait été envoyé par UPS. Il a découvert que les pirates avaient réussi à utiliser une faille dans le système de coche pour tromper Gmail et lui faire croire que les courriels provenant des fausses marques sont légitimes.
Après avoir découvert le problème, Plummer a signalé la vulnérabilité à Google par le biais de son programme de récompense des bugs. Malheureusement, Google n'a pas cru à sa découverte et a rejeté son rapport avec le message “won't fix – intended behavior”.
L'expéditeur a trouvé un moyen de tromper @gmailLe message est passé d'un compte Facebook à un netblock britannique, puis à O365 et enfin à moi. Ce message est passé d'un compte Facebook à un netblock britannique, puis à O365 et enfin à moi. Rien de tout cela n'est légitime. Google ne veut tout simplement pas traiter ce rapport honnêtement.
– plum (@chrisplummer) 1er juin 2023
“En quoi un escroc se faisant passer pour @UPS de manière aussi convaincante est-il “intentionnel”.[?] , écrit-il. ” L'expéditeur a trouvé un moyen de duper le tampon d'approbation d'@gmail, qui fait autorité et auquel les utilisateurs finaux vont faire confiance. Ce message est passé d'un compte Facebook, à un netblock britannique, à O365, puis à moi. Rien de tout cela n'est légitime.
Ce n'est qu'après que les tweets de Plummer sur le problème sont devenus viraux, que Google a reconnu qu'il y avait une erreur et a déployé une équipe pour enquêter sur la question.
La société a rouvert le rapport de bogue et répertorié la faille comme un correctif ” P1 ” (priorité absolue), qui est actuellement ” en cours. “
“Après avoir regardé de plus près, nous avons réalisé qu'en effet, cela ne semble pas être une vulnérabilité SPF générique. Nous rouvrons donc ce dossier et l'équipe appropriée examine de plus près ce qui se passe”, a déclaré Google dans un communiqué.
“Nous nous excusons à nouveau pour la confusion, et nous comprenons que notre première réponse ait pu être frustrante, merci beaucoup d'avoir insisté pour que nous regardions cela de plus près ! Nous vous tiendrons au courant de notre évaluation et de la direction que prendra ce problème.”
Dans un communiqué remis à SC Media, Google a déclaré : “Ce problème découle d'une vulnérabilité de sécurité tierce permettant à de mauvais acteurs de paraître plus dignes de confiance qu'ils ne le sont.
Pour assurer la sécurité des utilisateurs, nous demandons aux expéditeurs d'utiliser la norme d'authentification DomainKeys Identified Mail (DKIM), plus robuste, pour bénéficier du statut d'indicateurs de marque pour l'identification des messages (coche bleue).”
Étant donné que Google cherche toujours une solution pour combler la faille de sécurité actuelle dans le système de coche de Gmail, les utilisateurs restent exposés à d'éventuelles escroqueries et tentatives d'hameçonnage jusqu'à ce que le problème soit résolu.
Il est donc conseillé aux utilisateurs de faire preuve de prudence et de rester sur leurs gardes lorsqu'ils communiquent par courrier électronique.
