Avec ses 142 services pour la plupart gratuits et très usités par le grand public, Google stocke à l'heure actuelle une masse de données immensément importantes, venant du monde entier... Cependant régulièrement, la sécurité de la plateforme est remise en cause, ainsi après la faille de Gmail dont on a toujours pas la certitude qu'elle fut fixée, ce sont maintenant tous les services rattachés à un sous domaine xxx.google.com qui seraient victimes d'une faille XSS.

C'est en effet ce que conte XSSSniper sur son blog de sécurité où il explique comment il a réussi à déjouer la sécurité de la totalité des services rattachés au domaine google.com depuis un simple "sniffing" des Content-Types, avec le navigateur Internet Explorer.



En effet XSSsniper explique que comme d'autres l'avaient déjà dit avant, alors que la plupart des navigateurs comme Opera, Safari, ou Firefox, reconnaissent environs entre 5 et 10 "Content-Type" différents, Internet Explorer lui, réagirait à environs 696 en-tête différents selon les tests de Blake Frantz. Ainsi grâce au header renvoyé par le service spreadsheets.google.com, XSSSniper a réussi à modifier à sa guise le contenu du cookie de Google Tableur, et le problème intervient là également... ce cookie est utilisé sur tout le domaine google.com .



Ainsi il suffit d'exploiter cette faille pour accéder à votre compte Gmail, lire tous vos documents stockés dans Google Documents, lire votre code source dans code.google.com, accéder à votres espace webmaster, et peut-être même votre compte Adwords et Adsense, s'ils sont rattachés au même compte.

Rassurez-vous cependant, s'il en existe sûrement d'autres encore non corrigées, ceelle-ci a été corrigée par l'équipe de développement de Google, normalement, cependant il n'a pas été dévioilé si le système de cookie avait été amélioré par la même occasion ou pas. Car en effet pruger les failles d'un seul service est une chose, mais s'occuper de celles de 40 services ou plus, en est une autre, qui rend très vulnérables la totalité de la plateforme Google puisqu'avec autant de services liés, il ne sera jamais possible à Google de protéger tous les services des failles...

Un épisode qui ne mettra donc pas très en confiance la plupart des utilisateurs des services de Google et qui rappelle une fois de plus les dangers qui sont liés à Google et à son omniprésence sur la toile et parmi les services au particulier ou aux entreprises... à suivre.