HyperAI
AccueilActualitésArticles de recherche récentsTutorielsEnsembles de donnéesWikiSOTAModèles LLMClassement GPUÉvénements
Recherche
À propos
HyperAI
Back to Headlines

Google corrige une faille permettant de dévoiler les numéros de téléphone privés des utilisateurs

il y a 25 jours

Un chercheur en sécurité a découvert une vulnérabilité permettant de révéler le numéro de téléphone privé de récupération de presque n’importe quel compte Google sans prévenir son propriétaire, exposant ainsi les utilisateurs à des risques de confidentialité et de sécurité. Cette découverte a été confirmée par Google à TechCrunch, qui a assuré avoir corrigé le problème après que le chercheur l'ait signalé en avril. L'individu, connu sous le pseudonyme de brutecat et qui a partagé ses conclusions sur son blog, a expliqué comment il avait réussi à obtenir le numéro de téléphone de récupération d'un compte Google en exploitant une faille dans la fonctionnalité de récupération de compte de l'entreprise. L'attaque reposait sur une série de processus individuels fonctionnant ensemble, notamment la fuite du prénom complet associé au compte ciblé et le contournement du mécanisme de protection contre les bots que Google avait mis en place pour empêcher le spam malveillant de requêtes de réinitialisation de mot de passe. En ignorant la limite de taux imposée par Google, brutecat a pu tester toutes les combinaisons possibles du numéro de téléphone en un temps record, ce qui lui a permis de trouver le bon numéro en moins de 20 minutes, selon sa longueur. Pour prouver la validité de cette méthode, TechCrunch a créé un nouveau compte Google avec un numéro de téléphone inédit et l'a confié à brutecat. Peu de temps après, le chercheur a repris contact avec le bon numéro, déclarant « bingo :) ». Cette faille peut donc potentiellement compromettre même les comptes anonymes de Google, notamment en leur ouvrant la voie à des tentatives d'usurpation. En effet, connaître le numéro de téléphone associé à un compte Google facilite les attaques de type SIM swap, où les pirates prennent le contrôle du numéro de téléphone. Avec ce contrôle, ils peuvent réinitialiser le mot de passe de n'importe quel compte lié à ce numéro en générant des codes de réinitialisation de mot de passe envoyés au téléphone. Compte tenu du risque potentiel pour le grand public, TechCrunch a décidé de garder cette information confidentielle jusqu'à ce que Google corrige la vulnérabilité. Selon Kimberly Samra, porte-parole de Google, "ce problème a été résolu. Nous avons toujours souligné l'importance de travailler avec la communauté de recherche en sécurité grâce à notre programme de récompenses pour les vulnérabilités. Nous tenons à remercier ce chercheur pour avoir signalé cette faille." Elle a également ajouté que Google "n’a relevé aucun lien direct confirmé avec des exploits à ce stade." Quant à brutecat, Google lui a versé une récompense de 5 000 dollars pour sa contribution. Cette collaboration entre Google et la communauté de recherche en sécurité démontre l'engagement de l'entreprise à swiftly identifier et corriger les failles, assurant ainsi la sécurité et la protection des données de ses utilisateurs.

Related Links

Google fixes bug that could reveal users’ private phone numbers
TechCrunch