En 2011, le développeur André DeMarre dénonçait sur une chaîne mail IETF un comportement de OAuth — protocole libre d’identification par services — permettant de phisher les utilisateurs par un malveillant tour de passe-passe, selon The Register. Dans sa publication datant désormais de plus de cinq ans, le développeur détaille un scénario — très proche de celui qui a conduit de nombreux internautes à l’erreur — dans lequel un client OAuth se nommerait, faussement, Google.
Dans ce cas de figure, explique le développeur, l’internaute trouverait la demande d’autorisation suivante, pour le moins confuse : Google demande l’autorisation d’accéder à… (vos données Google). Il apparaît complexe pour l’utilisateur de discerner la nature de cette demande et sa source réelle.
Ironiquement, DeMarre a reçu une récompense de la part de Google pour avoir découvert cette faille symbolique qui ne sera finalement pas vraiment corrigée jusqu’à très récemment. En effet, le géant avait alors choisi de limiter la casse en essayant de détecter les abus et les bloquer, tout en précisant qu’il ne vérifierait pas les informations présentées par OAuth dans tous les cas de figure.
DeMarre ajoute aujourd’hui que Google n’avait alors pas la bonne démarche pour gérer la menace du phishing, toujours plus ambitieuse et maline. Le développeur précise : « La principale critique que j’ai à l’encontre de nombreuses interfaces OAuth, pas seulement celles de Google, est qu’elles n’affichent pas assez d’information pour que les utilisateurs confirmés puissent vérifier l’authenticité de l’application émettrice. »
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Vous voulez tout savoir sur la mobilité de demain, des voitures électriques aux VAE ? Abonnez-vous dès maintenant à notre newsletter Watt Else !
