+- TISI (https://www.tisi-fr.com/board)
+-- Forum : La cafet' (https://www.tisi-fr.com/board/forumdisplay.php?fid=14)
+--- Forum : Le journal (https://www.tisi-fr.com/board/forumdisplay.php?fid=15)
+--- Sujet : Une faille dans les commentaires de Google Docs exploitée (/showthread.php?tid=3936)
Une faille dans les commentaires de Google Docs exploitée - Altioz - 10-01-2022
Avanan une entreprise spécialise dans la protection des messageries cloud. Dans une de ses équipes, un employé Jeremy fuchs a décelé ses derniers mois de nombreux défaut de sécurité. Après une première découverte d'exploit en juin et une autre faille en octobre. Une nouvelle faille a été decele : « Dans cette attaque, les pirates ajoutent un commentaire à un document Google. Le commentaire mentionne la cible avec un @. Un e-mail est ensuite automatiquement envoyé dans la boîte de réception de cette personne. Dans cet e-mail, qui provient de Google, le commentaire complet, y compris les mauvais liens et le texte, est inclus. De plus, l'adresse e-mail n'est pas affichée, juste un nom, ce qui facilite le travail des attaquants », explique Jeremy Fuchs.
Plus de 500 boite de réception on été touche de plus vue que le vecteur d'attaque vient de Google il est dur d'authentifier cette opération malveillante. Pour se prémunir contre quelques mesures peuvent notamment être diffusées : « Encouragez les utilisateurs finaux à croiser l'adresse e-mail dans le commentaire pour vous assurer qu'il est légitime, leur rappeler l'hygiène informatique de base notamment en examinant les liens et en inspectant la grammaire et en cas de doute de contacter l'expéditeur légitime et confirmer qu'il avait l'intention d'envoyer de document. »