Les ticks bleus Gmail sont disponibles depuis quelques semaines maintenant, qui visent à prévenir le phishing et les escroqueries. Or, d’après ce qui a émergé sur Twitter ces derniers jours, le système ferait l’objet d’un faux.
Chris Plummer, un ingénieur en sécurité informatique qui travaille pour Dartmouth Health, sur Twitter a souligné comment les vérifications bleues de Gmail pourraient être truquées car le système utilise des indicateurs de marque pour l’identification des messages (BIMI), DMARC (authentification de message basée sur le domaine, rapports et conformité) et VMC (Verified Mark Certificate) délivré par des autorités de certification telles que Entrust et DigiCertto, qui sont chargées de vérifier à la fois le logo et le domaine.
Plummer dans le tweet n’explique pas comment il est possible de contourner le système, mais montre une capture d’écran d’un faux e-mail UPS avec un chèque bleu, bien qu’il ait été envoyé depuis une fausse adresse.
Lire aussi : Google supprime les comptes inactifs : que faites-vous pour protéger vos données ?
Google a immédiatement réagi, expliquant comment le problème provient d’une vulnérabilité tierce qui sera corrigée sous peu. « Ce problème provient d’une vulnérabilité de sécurité tierce qui permet aux attaquants de paraître plus dignes de confiance qu’ils ne le sont. Pour assurer la sécurité des utilisateurs, nous exigeons que les expéditeurs utilisent la norme d’authentification DomainKeys Identified Mail (DKIM) la plus fiable pour se qualifier pour le statut des indicateurs de marque pour l’identification des messages (coche bleue) « , a déclaré Google.
