Sécurité

Google va bloquer un moyen de se connecter aux applications pour prévenir les attaques

Se connecter à son compte Google via une application mobile peut devenir moins pratique, mais c’est pour une bonne cause. Google a annoncé jeudi (18) qu’à partir du mois de juin, il bloquera les tentatives de connexion faites par les navigateurs intégrés afin d’éviter un type d’attaque connu sous le nom de “man-in-the-middle” (MITM).

L’entreprise avait déjà mis en place plusieurs restrictions de sécurité sur sa page de connexion. Par exemple, depuis l’année dernière, vous devez activer JavaScript dans votre navigateur pour remplir un nom d’utilisateur et un mot de passe : cela permet à Google d’exécuter un script d’évaluation des risques pour vérifier que l’accès est légitime ou qu’il s’agit d’une tentative de vol d’informations.

Désormais, Google bloquera l’accès dans les navigateurs intégrés. Que voulez-vous dire par “Google bloquera l’accès aux navigateurs intégrés” ? Dans certaines applications, vous pouvez entrer dans des pages d’autres sites sans avoir à ouvrir Chrome ou un autre navigateur. C’est le cas de Facebook et Twitter, par exemple. Cela vous rend plus heureux (le chargement est plus rapide) et le développeur aussi (après tout, vous passez plus de temps dans son application).

  Google va préparer son concurrent pour iTunes Match, selon NYT

Mais lorsque la page est un formulaire de connexion, elle ouvre une faille de sécurité potentielle : une application malveillante peut intercepter la communication entre vous et Google en temps réel, obtenant des données comme le nom d’utilisateur, le login et même un code d’authentification à deux facteurs. Il s’agit d’une attaque de l’homme du milieu (MITM).

Google explique que “parce que nous ne pouvons pas différencier une connexion légitime d’une attaque MITM sur ces plateformes, nous allons bloquer les connexions sur les cadres de navigation intégrés à partir de juin”.

Pour les développeurs, la solution consiste à migrer vers une authentification basée sur OAuth, qui permet aux utilisateurs de voir l’adresse complète de la page à laquelle ils essaient de se connecter.

A propos de l'auteur

Ronan

Le Breton de l'équipe ! Développeur back-end dans une startup française. Internet des objets, domotiques, mes sujets de prédilection sont vastes. #teamLinux sur PerlmOl

Laisser un commentaire