Il y a moins d’un mois, Google a lancé un nouveau système de vérification de coche bleue pour Gmail afin d’aider à prévenir les e-mails frauduleux, et les escrocs ont déjà compris comment abuser du système.
Gmail a lancé ses coches bleues pour la première fois le mois dernier, avec la fonctionnalité permettant aux entreprises de vérifier leurs e-mails marketing et autres messages pour aider à rendre plus évident quels e-mails sont « officiels ». C’est une excellente idée, en théorie, mais comme on l’a maintenant souligné, cela ne fonctionne pas vraiment très bien.
Chris Plummer, architecte senior en cybersécurité pour Dartmouth Santéest allé sur Twitter la semaine dernière pour révéler un problème avec les coches bleues de Gmail qui montre qu’il est possible de falsifier ces badges.
Le système de Gmail utilise des indicateurs de marque pour l’identification des messages (BIMI) ainsi que DMARC (Domain-based Message Authentication, Reporting, and Conformance) et un VMC (Verified Mark Certificate) émis par une autorité de certification, comme Entrust ou DigiCertto, pour vérifier à la fois le logo et le domaine attaché.
Plummer n’entre pas dans les détails sur la façon dont les escrocs ont contourné le système, mais propose un exemple d’e-mail – avec informations plus détaillées – qui utilisait le logo UPS avec un domaine incluant « ups.com » pour simuler une coche sur un e-mail qui clairement n’était pas officiel.
Frustrant, un rapport de bogue de Plummer a été initialement marqué comme « comportement intentionnel » par Google, mais la société plus tard renversé cette position et a rouvert le sujet. Cela laisse la porte ouverte à un correctif, mais pas de calendrier en la matière.
Un système comme celui-ci présente des avantages évidents, mais les escrocs sont persistants. Il n’est pas surprenant qu’une échappatoire ait été trouvée.
Dans une déclaration fournie peu de temps après la publication initiale de cette histoire, Google explique en outre que ce problème provient d’une vulnérabilité tierce et que, en réponse, Google demandera aux expéditeurs d’utiliser le DomainKeys Identified Mail (DKIM) norme d’authentification pour se qualifier pour les coches bleues. Cette nouvelle exigence sera déployée d’ici la fin de cette semaine.
Ce problème découle d’une vulnérabilité de sécurité tierce permettant aux acteurs malveillants de paraître plus dignes de confiance qu’ils ne le sont. Pour assurer la sécurité des utilisateurs, nous demandons aux expéditeurs d’utiliser la norme d’authentification DKIM (DomainKeys Identified Mail) plus robuste pour se qualifier pour le statut d’indicateurs de marque pour l’identification des messages (coche bleue).