Phishing Google Docs: la technique était connue depuis des années

La campagne de phishing qui a fait les gros titres hier exploitait une vulnérabilité déjà documentée il y a six ans. Les détails de la technique utilisée, permettant de piéger les utilisateurs via l’intégration dans un mail d’un faux lien de partage d’un fichier Google Docs, ont émergé des archives du web. En 2011, un développeur nommé André DeMarre décrivait comment contourner le protocole d’identification OAuth, en faisant apparaître un faux nom d’une application client laissant par exemple croire, à l’instar de la récente attaque, à une demande d’autorisation d’accès provenant de Google. Ironie de l’histoire: le développeur explique au site Hacker News qu’il avait à l’époque averti Google du danger et même reçu une récompense pour sa démarche. Google aurait par la suite eu l’intention de mettre au point un mécanisme de protection contre cette méthode de phishing… ce qui n’a donc manifestement pas été le cas.

Etait-ce un test pour un travail de diplôme?

La récente campagne de phishing, finalement contrée par Google, avait-elle vraiment des motifs malveillants? La question se pose en tout cas, alors que des tweets publiés sur le compte d’un dénommé Eugene Pupov sèment le doute. L’intéressé explique être à l’origine des mails envoyés et qu’il ne s’agissait pas, en réalité, d’une tentative de phishing. Le mystérieux twittos se défend en précisant que les mails ont été crées et envoyés dans le cadre d’un test pour un travail de diplôme universitaire. Toutefois, les médias qui ont sollicité ses commentaires n’ont pas obtenu de réponse.