Vulnérabilité critique Google : des numéros de téléphone exposés
Juin 12, 2025
Essai gratuit de 30 jours
Un chercheur en sécurité a identifié une vulnérabilité critique dans le système de récupération des comptes de Google qui aurait pu permettre à des pirates d'obtenir les numéros de téléphone des utilisateurs de Google en exploitant un mécanisme de récupération obsolète qui fonctionnait sans les nouvelles protections JavaScript.
Comment la vulnérabilité a-t-elle été exploitée ?
Il s'avère que le formulaire de récupération de nom d'utilisateur de Google a fonctionné avec JavaScript désactivé, contournant les protections modernes des robots mises en œuvre pour d'autres services depuis 2018.
Selon le chercheur en sécurité qui a découvert le problème, les attaquants auraient pu utiliser deux requêtes HTTP spécifiques qui leur auraient permis de vérifier si un numéro de téléphone était lié à un compte Google spécifique.
Même si les défenses de Google comprenaient des restrictions basées sur l'IP et des protections CAPTCHA, il était possible de faire pivoter les adresses IPv6 et de contourner entièrement ces limitations.
Scénario d'attaque réel
Un pirate commence par identifier le nom d'affichage du compte Google de la victime. En utilisant les indices du processus de récupération de compte de Google qui révèle des numéros de téléphone partiels, les attaquants peuvent forcer brutalement les chiffres manquants.
Les attaquants pourraient utiliser du matériel grand public coûtant seulement 0,30 $ par heure pour forcer les numéros de téléphone. Pour les pays disposant d'un petit nombre de numéros de téléphone, comme Singapour, cela ne prendrait que quelques minutes. Pour des pays plus grands comme les États-Unis, cela pourrait prendre 20 minutes ou plus.
Conséquences potentielles pour les utilisateurs
Si des attaquants avaient découvert cette vulnérabilité en premier, cela aurait pu conduire à :
- Des atteintes massives à la vie privée, en exposant les numéros de téléphone personnels liés aux comptes Google.
- Augmentation du risque d'attaques de phishing ciblées, d'escroqueries et de tentatives d'ingénierie sociale, car les attaquants pourraient exploiter les numéros de téléphone personnels pour paraître dignes de confiance ou familiers.
- Possibilité de prise de contrôle de comptes en utilisant les numéros de téléphone dans le cadre d'autres attaques de récupération et de vérification de comptes.
La réponse de Google
Dans un premier temps, Google a accordé au chercheur une prime de 1 337 dollars, estimant qu'il était peu probable que la vulnérabilité soit largement exploitée. Cependant, après avoir reconnu la gravité et les dommages potentiels, Google a augmenté la récompense à 5 000 dollars et a rapidement résolu le problème en supprimant complètement les processus vulnérables en juin 2025.
Que peuvent faire les utilisateurs ?
- Vérifiez et mettez à jour régulièrement les paramètres de sécurité de votre compte.
- Activez l'authentification à deux facteurs (2FA) dans la mesure du possible.
- Restez vigilants et à l'affût de messages inattendus, en particulier ceux qui vous demandent des informations personnelles ou des détails sur votre compte.
tags
Auteur
The meaning of Bitdefender’s mascot, the Dacian Draco, a symbol that depicts a mythical animal with a wolf’s head and a dragon’s body, is “to watch” and to “guard with a sharp eye.”
Voir toutes les publicationsActualités Les + populaires
Dépasser les cybermenaces : Bitdefender et la Scuderia Ferrari HP en 2025
Mars 13, 2025
Les internautes craignent pour leurs économies, mais ne font pas grand-chose pour se défendre
Juillet 01, 2024
Beaucoup de gens notent encore leurs mots de passe importants sur un papier
Juin 10, 2024
1 internaute sur 4 a été confronté à un incident de sécurité au cours de l'année écoulée
Juin 03, 2024
FOLLOW US ON SOCIAL MEDIA
Vous pourriez également aimer
Marque-pages
