Vous pensiez votre compte Gmail protégé par la double authentification ? Raté. Une fonction légitime, peu connue, permet de la contourner en toute tranquillité. C’est exactement ce qu’a exploité un groupe lié au renseignement russe pour accéder à la messagerie d’un expert en géopolitique. Une faille structurelle, toujours active, qui concerne potentiellement tout le monde.
Du coup si, il a bien eu accès à des identifiants : le code généré est bien un identifiant…
2 « J'aime »
Oui j’ai l’impression aussi qu’il y’a un peu de confusion là. Bon si c’est une faille c’est une faille qui nécessite quand même la transmission du sésame. Donc au mieux social engeneering ?
Voici le message lorsqu’on se connecte pour créer un app password
et ensuite :
Bref @ChloeCls , pas sûr qu’il s’agisse d’une « alerte » même si je comprends la nécessité de sortir dans les résultats et d’obternir de la visibilité.
Pour déconner on pourrait titrer : « Alerte : Giles est une grosse faille de sécurité 0-day impatchable, mettez à jour vers Jessica dès que possible » ?
1 « J'aime »
Aussi, pour réduire la surface d’attaque et limiter la casse, astreignez-vous à ne jamais communiquer d’identifiants quels qu’ils soient, y compris s’ils vous semblent secondaires, comme les ASP.
Une adresse électronique est un déjà identifiant qu’il faut bien communiquer dans certains cas si on veut recevoir un retour. Mais pour tout le reste, pas besoin d’en faire une astreinte, c’est juste une question de bon sens.
Bref, le problème ici était une fois de plus entre la chaise et l’écran.
En effet ça ressemble plus à de l’ingénierie sociale vu la description plutôt qu’une véritable faille de sécurité. C’est la même chose si par exemple quelqu’un qui se fait passer pour la banque demande à valider une transaction avec le téléphone…
1 « J'aime »
C’est tout à fait ça.
Dans le temps, on appelait ce genre de hack un virus belge… Quand tu fais toi même toutes les manipulations qui te nuisent …