Bon, c'est pas vraiment du piratage, ce n'est pas vraiment une faille et pourtant... Un utilisateur Reddit a eu la mauvaise surprise de voir son mot de passe Google modifié par son fils sans que celui-ci n'ait aucune information sur le compte. Et ça pourrait vous arriver si quelqu'un s'empare de votre portable, avec votre accord ou non.
Malin Google, malin...
Ici, pas besoin d'avoir la moindre connaissance en informatique, il vous faut juste appuyer sur les bons boutons, comme l'explique le post de l'utilisateur Reddit karcirate.
Si vous avez du mal avec l'anglais, on vous a traduit le post.
Je viens de découvrir ce qui semble être une énorme faille de sécurité. Si quelqu'un pouvait m'expliquer si ce qui suit est logique.
Mon fils était en train de jouer sur mon téléphone (un Galaxy S3). Il a essayé de faire des achats in-app sur le jeu Subway Surfer mais ne connaissait pas le mot de passe. Il a donc suivi les étapes suivantes pour réinitialiser mon mot de passe depuis mon téléphone sans avoir à rentrer la moindre information relative au compte. En partant de l’écran après avoir cliqué sur "acheter" :
1. Appuyez sur le point d’interrogation à côté du champ mot de passe quand on vous demande de confirmer le mot de passe pour valider l'achat.
2. Cliquez sur "Mot de passe oublié".
3. Cliquez sur "Je ne sais pas".
4. Laissez la case cochée sur "Confirmer la réinitialisation du mot de passe sur mon téléphone Samsung Android SCH-I535".
5. Cliquez sur "Oui".
6. Cliquez sur "Autoriser la réinitialisation du mot de passe".
7. Entrez et confirmez le nouveau mot de passe.
Et cela a permis à quelqu’un n’ayant absolument aucune information sur mon compte Google et seulement accès à mon téléphone de changer le mot de passe de mon compte Google.
Wow ! Hacker de génie le gamin ? Que nenni, mon bon ami ! Il s'agit difficilement d'une faille puisqu'il a toujours été possible de faire cela depuis le Play Store. Ce qu'il faut savoir, c'est qu'il existe une jolie petite option a activer et qui se nomme la vérification en deux étapes. Cette option force Google à envoyer un code de vérification pour autoriser le changement du mot de passe. Le truc, c'est qu'il vaut mieux ne pas choisir l'envoi par SMS ou sur une adresse e-mail synchronisée avec votre smartphone : la personne recevra de toute manière le code. Il vaut mieux choisir une autre adresse, peut-être celle de votre travail ou une spécialement créée pour vos comptes en tout genre.
Par Manju-man, il y a 10 ans :
Merci pour l'info, je vais faire cette verification de suite :)
Répondre à ce commentaire
4
0