BFM Business

Cette fonction de Gmail qu'on peut détourner pour vous arnaquer

-

- - -

Un développeur raconte que son adresse Gmail aurait pu l'amener à payer l’abonnement Netflix de quelqu’un d’autre.

Sur nos boîtes mail, les tentatives d’arnaques sont de plus en plus difficiles à repérer. Mais parfois, il est pratiquement impossible de les voir venir. Sur son site, le développeur James Fisher raconte comment il a failli payer l’abonnement Netflix d’un ou d’une illustre inconnu(e). Il met notamment en cause une fonction de Gmail, qui consiste à ne pas tenir compte des points dans les adresses mail.

Une infinité d’adresses mail

L’histoire commence en février dernier. James Fisher reçoit un mail de la part de Netflix. Le message lui suggère de mettre à jour la méthode de paiement liée à son compte. Le mail est authentique, au même titre que le lien. En cliquant, il atterrit sur le site du géant américain de la vidéo. Un seul détail cloche: le numéro de carte bancaire, censée avoir expiré, n’est absolument pas le sien. De retour sur Gmail, James Fisher réalise que le mail était adressé à james.hfisher@gmail.com, et non jameshfisher@gmail.com, l’adresse qu’il utilise habituellement.

Le message envoyé par Netflix à James Fisher
Le message envoyé par Netflix à James Fisher © -

Ceux qui ont une adresse Gmail ne le savent peut-être pas, mais ils en ont en réalité une infinité. A la différence de services concurrents, Google a décidé de ne pas tenir compte des points. Si l’utilisateur Pierre Dupont décide de créer l’adresse pierredupont@gmail.com, il pourra en fait être joint à bien d’autres adresses. Chaque mail envoyé à pierre.dupont@gmail.com, pier.re.du.pont@gmail.com ou encore p.i.e.r.r.e.d.u.p.o.n.t@gmail.com atterrira dans sa boîte aux lettres. Heureusement, aucun autre utilisateur ne peut créer un autre compte Gmail en se servant de l’une de ces adresses.

Aucune vérification chez Netflix

Ce n’est pas le cas sur Netflix, qui ne tient pas compte de cette fonction de Gmail. Du point de vue du service de vidéo, pierredupont@gmail.com et pierre.dupont@gmail.com sont deux mails différents, qui peuvent correspondre à deux comptes différents. James Fisher a constaté que le compte lié à james.hfisher@gmail.com (utilisé par un tiers) avait été créé en septembre 2017. Fisher avait créé le sien -lié à jameshfisher@gmail.com- en 2013.

-
- © -

Cette différence de traitement entre Netflix et Gmail pose plusieurs problèmes. Au moment de la création du compte, Netflix ne prend pas le soin de vérifier l’adresse mail, par exemple en demandant à l’utilisateur de cliquer sur un lien de validation. Pour peu que l’on renseigne un moyen de paiement (carte bancaire ou Paypal), il est possible de créer un compte associé à n’importe quelle adresse, fictive ou réelle, puis de profiter du service immédiatement. En revanche, Netflix se sert de l’adresse mail pour réinitialiser le mot de passe. James Fisher a donc pu s’en servir pour modifier le mot de passe du compte créé en septembre dernier, afin d’y accéder à son tour.

Cette fonction de Gmail pourrait également permettre de faire payer son abonnement Netflix à quelqu’un d’autre. En recevant la demande de mise à jour du moyen de paiement James Fisher aurait pu, sans le savoir, financer la consommation de films et séries d’un ou d’une autre. Un utilisateur malveillant pourrait ainsi créer des dizaines de comptes basés sur des adresses Gmail agrémentées d’un point et les associer à des cartes prépayées. L’opération serait financièrement indolore dans la mesure où Netflix offre systématiquement le premier mois. A l’issue de celui-ci, il pourrait alors faire la liste de ceux qui ont mordu à l’hameçon en remplaçant sa carte par la leur, avant de profiter à l’œil de la nouvelle saison de La casa de papel.

https://twitter.com/GrablyR Raphaël Grably Chef de service BFM tech