Une faille de sécurité a permis d’exposer les adresses mail des utilisateurs et utilisatrices YouTube. Google vient de corriger le problème, mais il aura fallu attendre plus de quatre mois pour que l'entreprise agisse.
Pendant des mois, une faille de sécurité a exposé les adresses e-mail des utilisateurs et utilisatrices de YouTube. Découverte par les chercheurs en cybersécurité Brutecat et Nathan, elle permettait, en combinant deux API de Google, d’obtenir l’identifiant unique (Gaia ID) d’un compte YouTube et de le convertir en adresse e-mail. Un vrai problème pour celles et ceux qui tiennent à préserver leur anonymat sur la plateforme. Google vient enfin de déployer un correctif, mais il aura fallu attendre plus longtemps que de raison.
Proton VPN est l'un des fournisseurs VPN qui a le plus évolué au cours des derniers mois. Affichant l'une des plus belles interfaces du marché, Proton VPN intègre désormais un accélérateur de VPN qui augmente jusqu'à 400 % les vitesses de connexion.
Offre partenaire
Une fuite discrète qui exposait les adresses mail
Brutecat et Nathan ne cherchaient pas forcément à faire tomber YouTube, juste à en comprendre les rouages. En analysant l’API People du site, ils ont repéré un détail troublant : lorsqu’un internaute ouvrait le menu de blocage d’un live chat, YouTube transmettait en arrière-plan un identifiant, le Gaia ID.
Ce numéro unique, utilisé en interne par Google pour lier les comptes à ses différents services, n’est pas censé être accessible. Pourtant, en modifiant légèrement la requête, ils ont découvert qu’il était possible de récupérer ce matricule pour n’importe quelle chaîne, sans même passer par les options de blocage. Intéressant, mais encore inutilisable tel quel.
La faille est devenue bien plus inquiétante lorsqu’ils ont fouillé du côté de Pixel Recorder, un outil de partage d’enregistrements audio. L’API du service permettait de soumettre un Gaia ID et renvoyait en retour… l’adresse mail du compte Google associé. Autrement dit, en combinant ces deux failles, n’importe quel passionné d’informatique un poil chevronné pouvait révéler l’identité cachée derrière toutes les chaînes YouTube.
Un problème de taille pour les créateurs et créatrices de contenu qui utilisent un pseudonyme, mais aussi pour les journalistes, activistes, et toutes celles et ceux qui tiennent à leur anonymat en ligne.
Une faille minimisée et un patch tardif
Brutecat et Nathan ont signalé la faille à Google le 24 septembre 2024. La réponse ne s’est pas fait attendre, mais elle était loin d’être à la hauteur du problème. L’entreprise a classé l’alerte comme un simple doublon d’un bug déjà identifié et versé une prime de 3 133 dollars aux chercheurs. Une somme modeste au regard de l’ampleur de la brèche.
Naturellement, les chercheurs n’en sont pas restés là. En prouvant que la faille concernait d’autres services Google et qu’elle pouvait exposer des identités, ils ont contraint l’entreprise à revoir son jugement. La prime a été réévaluée à 10 633 dollars, preuve que le problème était plus sérieux que Google ne voulait bien l’admettre.
Il aura donc fallu attendre le 9 février 2025 pour que Google annonce avoir corrigé le tir. L’identifiant Gaia n’est plus accessible via l’API YouTube problématique, et Pixel Recorder ne permet plus d’en extraire l’adresse e-mail. La gestion du blocage sur YouTube a aussi été revue pour éviter toute fuite involontaire d’informations.
Officiellement, aucun acteur malveillant n’aurait exploité cette faille avant sa correction. Mais entre la première alerte et le correctif final, plus de quatre mois se sont écoulés. Un délai bien trop long pour une vulnérabilité aussi critique.
Source : BleepingComputer
19 décembre 2024 à 10h07
