Méfiez-vous des applications (in)connues.
Lundi 10 mars 2008
Voici la traduction d’un article que j’ai trouvé via ReadWriteWeb.com traitant d’un problème que j’ai trouvé grave, le piratage d’accès aux boîtes GMail des utilisateurs d’une application destinée à télécharger des documents. Si vous souhaitez lire l’article dans sa version originale, il est tiré de Coding Horror.
Je cherchais comment faire un backup des données de mon compte GMail vers ma machine car il y avait beaucoup d’informations que je ne souhaitais pas perdre. Pendant mes recherches je suis tombé sur G-Archiver, cette application semblait convenir à mes attentes, j’ai donc décidé de ne pas passer à côté.
Je me suis rendu compte qu’elle ne répondait pas vraiment à mes attentes mais étant moi-même un développeur j’ai utilisé Reflector pour jeter un oeil au code source. Et là ce que j’ai découvert m’a plutôt choqué. John Terry, le pseudo-createur, avait codé en dur le nom d’utilisateur et le mot de passe de son compte GMail. Très bien, pas la meilleure chose du monde à faire, mais par la suite j’ai découvert qu’à chaque fois qu’un utilisateur ajoute son compte au programme pour sauvegarder ses données, un email contenant son nom d’utilisateur et son mot de passe est automatiquement envoyé dans la boîte mail du créateur de l’application ! Venant juste de m’inscrire, je me suis plutôt senti concerné.
J’ai donc ouvert un navigateur et me suis connecté à son compte GMail avec ses informations. Par chance, cela fonctionnait encore.
Après avoir atterri sur la boîte de réception, j’ai vu qu’il y avait 1 777 emails avec les informations de connexion de tous ceux qui avaient utilisé ce logiciel et en haut de la liste des mails, il y avait mes informations de connexion. J’ai décidé d’envoyer tous les mails vers la corbeille et de la vider. J’ai accidentellement changé le mot de passe et je ne me souvient curieusement pas de la question de sécurité, désolé… J’ai également contacté Google pour supprimer ce compte car je n’ai pas trouvé le moyen de le supprimer par moi même.
On peut donc être tenté de remettre en cause toutes ces applications que l’on installe souvent à la va-vite par simple habitude. Il faut donc que vous vous posiez la question de savoir si le site sur lequel vous vous apprêtez à entrer les informations liées à votre compte email pouvant contenir des informations sensibles est réellement un site de confiance, le piratage de compte email pouvant entrainer de lourdes conséquence. (Cf. Le piratage de WebRankInfo).
