un excellent article du non moins excellentissime CLUBIC.
"Peut-être pensiez-vous que le mot de passe de votre compte Gmail était assez complexe pour sécuriser vos précieux messages... et bien détrompez-vous! En effet, plusieurs experts en sécurité informatique ont réussi à pirater un compte Gmail et selon eux, il est impératif d'activer l'option de connexion sécurisée en « https ».
Mais comment procèdent-ils ? Lorsque vous vous connectez à votre compte Gmail, les serveurs de Google placent sur votre ordinateur un petit fichier texte (cookie) contenant votre nom d'utilisateur et votre mot de passe. Ce cookie permet d'identifier votre machine comme ayant fourni la bonne combinaison de connexion afin d'étendre votre session jusqu'à deux semaines si vous ne vous déconnectez pas manuellement. Ce cookie est envoyé à chaque requête de page web, il est donc à la portée de hackers utilisant des « sniffers », ces petits programmes analysant les données transmises entre votre ordinateur et Internet.
Les personnes averties se contentent généralement de modifier l'adresse Internet du webmail en se rendant sur https://mail.google.com afin d'établir une connexion sécurisée. Cependant, Mark Perry, expert en la matière, affirme que même si ce cookie est désormais encodé, ce dernier n'en reste pas moins toujours transmis au serveur de Google. Certes, les choses se compliquent pour le hacker. Il lui faudrait par exemple pénétrer votre réseau local, ou choisir une victime dans un cyber-café. Puis, cette personne malintentionnée devrait encore forcer votre navigateur à charger un contenu provenant de http://mail.google.com. Vous repasseriez donc sur une connexion non sécurisée et le cookie contenant votre nom d'utilisateur et votre mot de passe pourrait à nouveau être intercepté. Perry explique au Washington Post que : « cela donne aux utilisateurs surfant sur une connexion https:// une fausse impression de sécurité, ils pensent être protégés mais en réalité ils ne le sont pas. ». Perry explique que d'autres sites tels que Facebook ou Amazon sont tout aussi exposés.
Sandro Gauci, expert et consultant en sécurité informatique, s'était déjà penché sur la question. Il a publié une vidéo qui témoignerait du piratage d'un compte Gmail en temps réel:
.
L'outil de sniffing utilisé, SurfJack, est mis à disposition en téléchargement... sur Google Code.
Mark Perry aurait prévenu Google l'année dernière mais ce dernier n'a réagi que le 24 juillet dernier en ajoutant une nouvelle option aux comptes Gmail ; il s'agit d'une petite fonctionnalité forçant une connexion sécurisée permanente en mode « https » au lieu de « http ». Il est donc fortement conseillé d'activer cette option que vous retrouverez dans Paramètres > Général > Connexion au navigateur.
httpsGmail
Notez que si vous utilisez un nom de domaine personnel sur Google Apps, la connexion est automatiquement sécurisée en « https »."