dimanche 2 mars 2008

Le Captcha du webmail Gmail piraté

Nos confrères de Vulnérabilité nous apprennent la nouvelle mise en échec du système Captcha qui vient d'être contourné dans le cadre de son utilisation pour le webmail gratuit de Google.

C'est décidément la loi des séries. Après Yahoo! Mail et récemment Windows Live Hotmail, c'est au tour du système Captcha d'un autre webmail de renom d'être piraté. La victime du jour est en effet Gmail comme le rapporte la société de sécurité Websense.

Avant de pouvoir ouvrir un compte Gmail, l'utilisateur doit passer par une étape préalable qui consiste à élucider un Captcha, typiquement une image contenant des caractères que seul un humain est à priori apte à identifier. Cette mesure de sécurité inspirée du test de Turing, évite ainsi que des spammeurs ne se constituent rapidement et de façon automatisée une petite base de données d'adresses mail afin d'accomplir leur basse besogne.

Si le Captcha n'est pas infaillible, celui de Gmail a la réputation d'être l'un des plus robustes. Une réputation désormais légèrement en berne même si cela a été au prix d'une technique de contournement sophistiquée. Là où un seul hôte compromis a suffi pour craquer le Captcha de Windows Live Hotmail, il aura fallu la combinaison de deux hôtes pour pirater celui de Gmail, chacun usant d'une technique d'analyse légèrement différente.

Certes, le taux de réussite des efforts combinés des deux bots est assez faible, et s'il faut tenter de créer 5 comptes Gmail pour parvenir à en valider un, cela suffit toutefois largement pour générer de façon automatisée des milliers de comptes Gmail, dédiés à des fins de spam. Les possibilités de spam sont par ailleurs démultipliées, un compte Gmail donnant accès à une multitude de services estampillés Google.

Texte : GNT

Aucun commentaire: