Les utilisateurs de l’application Gmail sous iOS sont-ils en danger ? Lacoon Mobile Security, spécialiste en sécurité, a rapporté qu’il manquait au logiciel une brique sécuritaire dont l’absence permettrait à un hacker d’opérer une attaque de type homme du milieu (man in the middle). Gmail souffrirait de l’omission d’un certificat spécifique dit de pinning, un processus bien connu des développeurs qui permet d’éviter à leurs apps d’être victime de ce type de hack qui en passe par l’installation d’un profil de configuration malveillant. Ces certificats permettent de chiffrer les données de trafic entre l’app et les serveurs du développeurs, bien souvent en utilisant les protocoles de sécurité SSL/TLS.

Il peut toutefois arriver qu’un pirate puisse « tromper » les certificats, ce qui leur permet ensuite de déchiffrer le trafic et partant, d’accéder aux données confidentielles. Le pinning est une des manières pour éviter ces attaques. Google, mis en porte à faux dans cette histoire, a cependant assuré à Macworld qu’« il n’y a pas de vulnérabilité dans l’application Gmail ». Le moteur de recherche, prévenu le 24 février du problème, explique que le scénario de Lacoon nécessite que l’utilisateur accepte explicitement l’installation d’un certificat malveillant, donnant au hacker un accès à l’application. Une possibilité « hautement improbable », confirme John Pirc, directeur technique de NSS Labs, une société qui teste la sécurité de produits dédiés aux entreprises. Lacoon reconnait d’ailleurs que le pirate doit d’abord tromper sa victime et le pousser à ouvrir le fichier douteux. Mais si le fichier en question contient un certificat bidonné, le pinning serait à même d’en empêcher l’installation.

Même si Google assure qu’il n’y a aucun danger, le moteur de recherche a tout de même bouché cette vraie/fausse vulnérabilité dans l’app Gmail pour Android. D’ailleurs, l’entreprise a assuré qu’elle produirait un correctif, mais devant la publicité faite par Lacoon de cette faille, elle est passée en mode extinction de l’incendie.