Si, comme des dizaines de millions d’autres internautes à travers le monde, vous utilisez fréquemment les services de Google, méfiance ! Cela fait plusieurs mois qu’une faille de sécurité très importante a été révélée par la société de sécurité CloudSEK. Et autant le dire tout de suite, elle s’avère très inquiétante.

En pratique, cette faille permet à des hackers d’accéder aux comptes Google des personnes touchées par l’action d’un malware, et cela même si les personnes en question ont changé le mot de passe de leur compte.

Un malware et des cookies pour un résultat explosif

La faille de sécurité se trouve dans les cookies d’authentification des services de Google. Concrètement, ces derniers embarquent des informations qui permettent d’identifier un compte, et de l’authentifier pour une connexion sans que l’utilisation n’ait à donner sa validation. Ces cookies restent valables même quand le mot de passe du compte Google a changé, ce qui signifie qu’une personne qui constate une intrusion sur son compte et réalise cette démarche n’est pas en sécurité pour autant.

Sur la page qui détaille la découverte, CloudSEK explique que la faille zéro day exploitée par le malware a deux caractéristiques clés :

• La persistance de la session : La session reste valable même lorsque le mot de passe du compte est modifié, ce qui constitue un avantage unique pour contourner les mesures de sécurité typiques.
• La génération de cookies : La capacité à générer des cookies valides en cas de perturbation de session améliore la capacité de l'attaquant à maintenir un accès non autorisé.

La faille a été révélée pour la première fois au sein d’un canal de discussion Telegram le 20 octobre 2023, et il s’avère qu’elle a commencé à être exploitée dans les semaines suivantes via un malware nommé Lumma, avec des preuves concrètes trouvées en décembre dernier.

Présentation du malware par ses créateurs (Source : Bleeping Computer)

Pour Google, le problème vient des utilisateurs

Google a répondu aux sollicitations du site BleepingComputer concernant ce problème. « Nous mettons régulièrement à niveau nos défenses contre ces techniques et pour sécuriser les utilisateurs qui sont victimes de logiciels malveillants. Dans ce cas, Google a pris des mesures pour sécuriser tout compte compromis détecté », a déclaré la firme.

Mais l’entreprise américaine sous-entend également que si les internautes étaient plus prudents dans leur navigation, ce genre de situation n’arriverait pas. « Les utilisateurs devraient continuellement prendre des mesures pour supprimer tout logiciel malveillant de leur ordinateur, et nous recommandons d'activer la navigation de sécurité améliorée dans Chrome pour se protéger contre le phishing et les téléchargements de logiciels malveillants. »

C’est un fait, les logiciels malveillants ne s’installent pas seuls sur les ordinateurs des utilisateurs. Il convient donc de faire preuve de prudence quotidienne, de ne pas ouvrir les pièces jointes douteuses, mais aussi d’installer un antivirus en cas de doutes ou de mauvais reflexes fréquents sur Internet. Il est cependant difficile pour Google de se dédouaner complètement, puisque ce sont ses cookies qui sont en cause ici, mais il est certain que cette situation ne touche que les ordinateurs infectés par le malware Lumma. La prudence est donc, comme toujours, de mise !