Une faille de sécurité XSS dans le cache de Google : info ou intox ?

Une faille chez Google, est-ce possible ? C’est en tout cas ce qu’aurait découvert Laurent, de Saint Sever du Rustan (Hautes Pyrénées), un lecteur, qui m’a communiqué cette information étonnante hier, que je prends au conditionnel et avec moult précautions. En fait la faille ne concernerait pas le domaine principal de Google mais l’url http://webcache.googleusercontent.com

Une faille chez Google, est-ce possible ? C’est en tout cas ce qu’aurait découvert Laurent, de Saint Sever du Rustan (Hautes Pyrénées), un lecteur, qui m’a communiqué cette information étonnante hier, que je prends au conditionnel et avec moult précautions.

En fait la faille ne concernerait pas le domaine principal de Google mais l’url http://webcache.googleusercontent.com (qui pointe sur Google) rachetée en 2008 par Google pour stocker les pages en cache. Regardez  : quand vous faites une recherche dans le cache de Google, c’est ce domaine qui retourne le résultat, sous la forme http://webcache.googleusercontent.com/search?q=votre-requete.

C’est ce domaine qui serait concerné par une faille XSS[1] : si vous saisissez la requête qui permet de détecter les failles XSS, à savoir « Bonjour<script>alert(‘XSS’);</script> » à la suite de l’url, ce qui donne http://webcache.googleusercontent.com/search?q=Bonjour<script>alert(‘XSS’);</script>, le navigateur ouvre une fenêtre d’alerte, ce qui démontrerait la présence de la faille. J’ai testé sur quatre navigateurs (Firefox, Safari, Chrome, Internet Explorer 8 et 9) et j’obtiens une page d’erreur ou une pop-up d’alerte (dans Internet Explorer), du coup je ne suis pas très avancé.

Comme mentionné dans ce précédent billet sur les failles de Facebook, une faille XSS peut permettre à des utilisateurs malveillants de récupérer des données confidentielles via les cookies, de rediriger des visiteurs sur des pages de phishing, et autres joyeusetés du même acabit.

N’étant pas expert en sécurité informatique, j’ignore quelles peuvent être les conséquences de cette faille et si celle-ci est déjà connue, et je m’en tiendrai donc aux faits. Je laisse aux spécialistes de la question le soin de donner leur point de vue et à Google, le cas échéant, de combler cette brèche.

Cependant après des tests sur plusieurs navigateurs je constate que ceux-ci protègent les sites des scripts malveillants quand on essaie de les exécuter avec cette commande donc je reste assez dubitatif sur la réalité de cette alerte. D’autre part, j’ai également contacté un expert en sécurité informatique, qui m’indique qu’il ne peut reproduire la faille, ce qui tendrait à prouver que soit elle n’existe pas, soit elle a déjà été corrigée depuis hier, soit c’est un fake.

Qu’en pensez-vous ?

[1]pour en savoir plus sur le XSS, le mieux est encore de commencer par ce bon vieux Wikipedia : http://fr.wikipedia.org/wiki/Cross-site_scripting


Nos dernières vidéos

34 commentaires

  1. Même si elle est vérifiée, je ne vois pas bien l’enjeu. Au mieux ça permet d’accéder aux informations de la page en cache… Qui sont, par définition déjà accessibles.

    Dans le cas d’un Facebook ou autre, l’intérêt est d’accéder aux informations de la personne connectée au site ou à certaines fonctions comme « poster une message sur le mur »

  2. Pingback: Tweets that mention Une faille de sécurité XSS dans Google ? -- Topsy.com

  3. Eric

    Non ce billet est prêt depuis hier mais il m’a fallu un peu de temps pour procéder à quelques vérifications et contacts d’experts. Honnêtement je ne sais pas quoi en penser mais le sujet me paraissait mériter une publication. Les experts en sécurité sont aux champignons aujourd’hui, on aura plus d’avis demain (sauf s’ils font le pont) 🙂

  4. moi je trouve l info interessante pour un groupe si gros quel faille quel honte .pour engendrer des millions ils savent le faire .il faut embaucher des gent compétant

  5. Oui Google a eu quelques failles XSS (voir xssed.com) et elles ont été corrigées.
    Maintenant à quoi ça sert de parler d’une faille dont l’existence n’a pas été prouvée et/ou qui a déjà été corrigée ?… À part faire du buzz, je vois pas…

  6. jusqu’ou cette faille peut être nuisible ? Quant on voit que la redirection du site de googleusercontent.com il suffit de faire un whois et de contacter la personne designé et de faire un peu de hack et hop! car je suppose que toutes personnes mal intentiones pouront sans problemes aller plus loin .

    alors danger a surveiller
    cordialement

  7. « si tu lisais l’article correctement tu aurais économisé un commentaire » toi tu aurais économisé un article… Ma réponse est à la hauteur de ton article. Sans rancune !

  8. @AM Complètement d’accord, c’est que pour créer la polémique. L’article, son contenu, est juste inutile.

    @laurent65200 Tu m’expliques comme tu hack en contactant la personne qui a le site ? Déjà c’est Google qui doit être propriétaire de ce domaine et en plus les coordonnées doivent être cachées.
    Sinon à quoi ça servirait qu’un expert Google parle d’une faille inexistante ? Rien rien rien…

  9. @Etorouji
    excuse je ne suis pas inteligens comme toi mais bête je regarde et j ouvre les yeux
    http://whois.webrankstats.com/.....ontent.com
    on doit bien ouvrir ses mail un jour non
    Administrative Contact:
    DNS Admin
    Google Inc.
    1600 Amphitheatre Parkway
    Mountain View CA 94043
    US
    dns-admin@google.com +1.6502530000 Fax: +1.6506188571
    Technical Contact, Zone Contact:
    DNS Admin
    Google Inc.
    1600 Amphitheatre Parkway
    Mountain View CA 94043
    US
    dns-admin@google.com +1.6502530000 Fax: +1.6506188571

    Created on…………..: 2008-11-17.
    Expires on…………..: 2011-11-17.
    Record last updated on..: 2010-10-17.

  10. les possibilités de recherche de google ainsi que certains effets secondaires de son cache. Il présente aussi certains mécanismes de recherche de failles de sécurités utilisés par des hackers. Il nous donne donc des éléments de reflexion sur la gestion de la sécurité qui ne se limite pas à la mise en place de logiciels mais doit s’intégrer dans une politique globale de gestion d’un système d’informations.

    Une fois qu’on a compris comment les hackers peuvent tirer avantages de Google il devient plus facile de l’utiliser à son tour pour un « audit » de sécurité de son site.

  11. Désolé je peux pas m’empêcher mais le « toi, tu t’es fait berné par tes profs » m’a plié en 4, fou rire tout seul derrière son écran c’est rare, hahahahahah, c’est énorme !
    Est-ce déposé ou peut-on le reprendre pour claquer du troll ?
    juste MERCI !

  12. @Franck (Web Audit) c’est toi le conseiller expert à 950€ HT ?!

    – styles non présent dans le fichier .css
    – javascript non présent dans le ficher .js
    – pas de balise title sur certains liens
    – text image (personnes handicapées)
    – prend un espace (puis ne l’utilise pas à la place de margin/padding)
    – pas de balise alt sur certaines images
    – selected/checked s’écrive selected= »selected » checked= »checked »
    – les balises meta/input/img se ferme  » /> » est non par « > »
    – la page « questions-frequentes » est non utilisable sans javascript
    – etc…

  13. quand meme inquiétant quand on voit que 40 a 50 % des sites web part et pro sont toujours vulnerable a cette faille et pour google toujours pas d avis de pro
    bizzare bizzareeeeeeeeeeeeeeee

  14. @am mon message ne vous était pas destiné, n’appelait pas de réponse, mais je vous remercie pour le commentaire, ironique je suppose, on s’accordera le mérite d’essayer…
    je vous rassure nous n’avons aucunement besoin de votre avis quant à notre éventuelle réussite si elle devait se produire, ce n’est surement pas une finalité pour nous.

    ps : vous donnez régulièrement beaucoup de leçons mais nous ne pouvons malheureusement voir ce que vous savez faire ?
    Pourquoi ne pas en faire profiter les lecteurs ?
    Nous éclairer enfin sur la vérité ?

    Allez, désolé si vous l’avez pris pour vous, ça arrive à tout le monde, mais j’en ris encore.

  15. @jackdiver « mon message ne vous était pas destiné, n’appelait pas de réponse » foutage de gueule. « vous donnez régulièrement beaucoup de leçons » pardon ? Enfin un fan. « ne pouvons malheureusement voir ce que vous savez faire » donner des leçons est un métier. « mais j’en ris encore » qui vous dit par exemple que je ne suis pas handicapé et que j’utilise un logiciel d’écriture vocale (qui lui n’est pas parfait comme vous) ou que je n’ai pas eu la chance d’aller à l’école ? C’est tellement simple de se moquer du physique ou de la connaissance d’une personne. Mais je suis ravi que cela vous fasses autant rire.

  16. @AM : et ouais, c’est moi 🙂

    Un détail : Web Audit n’est pas fait pour faire un audit technique du site (il y a d’autres sites pour ça) mais il est plus orienté pour optimiser la performance commerciale des sites (plus de ventes ou plus de contacts).

    Cela dit, tes remarques sont certainement justes, mais :
    1 – je l’ai codé moi-même alors que ce n’est pas mon métier donc je suis même plutôt fier du résultat 🙂
    2 – il y a presque 2000 audits qui ont été réalisés depuis le lancement, dont une bonne partie où les utilisateurs ont rempli toutes les questions, donc je pense qu’en terme de performance il est plutôt pas mal foutu 😉

    Mais comme je suis de super bonne humeur aujourd’hui, je vais te faire encore plus marrer, je vais te montrer le site web de ma société (Web Audit est un service mais c’est So What qui est ma société de conseil). T’es prêt ? http://www.so-what.biz
    Cherche pas les autres pages, il n’y a que celle-ci !
    Et tu sais quoi ? Je gagne bien ma vie parce qu’en fait mes clients sont contents de moi parce que je leur fait gagner de l’argent (c’est tout con hein ?)

    Allez, je te souhaite un bon week-end et je te remercie de nous avoir diverti hier et aujourd’hui, car comme le disait Eric, sinon on s’ennuie le 11 novembre 😉

  17. Ca troll, ca se bagarre, un topic parfait ^^

    @Franck : « Et tu sais quoi ? Je gagne bien ma vie parce qu’en fait mes clients sont contents de moi parce que je leur fait gagner de l’argent (c’est tout con hein ?) »

    ==> Tu as tout à fait raison ! Dans la même veine, je suis webmaster et j’ai pas de site du tout !! Il n’empêche que les clients sont satisfaits et en redemandent … Comme quoi l’important ce n’est pas ce qu’on laisse paraitre sur la toile.

    @AM : Je suis pas sur que le passage obligé par l’éducation nationale soit une chance.

  18. Quel est le lien entre l’article et 80% des commentaires ?
    Pour l’article, je me pose quelques questions sur les implications : facebook avait une faille de sécurité, prouvée et dont les implications étaient très importantes. Là on parle d’une rumeur et je n’ai toujours pas compris les implications. Est-ce si important ?

  19. Bon puisque personne ne répond proprement, il y a peut-être une « faille », mais franchement tout le monde s’en fout, parce que si elle existe, elle est pas dangereuse. Faut bien comprendre que le principe du XSS est d’utiliser le cookie du domaine disponible sur la page sur laquelle on execute le script.

    Et il faut aussi savoir que les cookies sont cloisonnés très strictement par nom de domaine.

    Là, en l’occurrence, s’il existait, je vois pas bien quelle pourrait être l’utilité d’un cookie sur googleusercontent.com, qui n’a aucune espèce d’utilité vu qu’il n’est PAS le cookie du domaine principal de google, et qu’il ne pourrait contenir aucune information permettant d’attaquer un des services de google. Ho, mais oui, j’ai bien dit « s’il existait », parce que les requetes vers googleusercontent.com n’utilisent aucun cookie…

    Donc oui, c’est pipo, merci Laurent de son village perdu, et au revoir.

  20. Petite précision à propos des failles XSS : elles ne permettent pas seulement de voler les cookies d’un client… Ces failles vont bien plus loin. Etant donné qu’elles consistent à injecter un script, on peut en fait éxecuter n’importe quoi sur le client. Ce qui inclus du code viral. Il est donc possible d’infecter un client juste en lui envoyant un lien Google, ce qui peut être très dangereux…
    Ces failles sont bien trop souvent sous-estimées…

    Et pour ce qui est des XSS sur Google, en cherchant bien on peut en trouver quelques unes. Il suffit de voir la liste de ceux qui ont reportés des failles à Google depuis novembre 2010, la plupart étant des XSS.

Répondre