2014-03-11

Possible phishing via www.blogspot.fr

Google ne semble pas très soucieux de son domaine blogspot (qui a été française de Blogger)...

Déjà, quand on essaie d'accéder à http://blogspot.fr, on finit par retomber sur la homepage de Google, après une redirection 302 :

$ curl -I http://blogspot.fr/

HTTP/1.1 302 Found
Location: http://www.google.com/


Ce n'est pas très normal, surtout car la version américaine (blogspot.com) redirige bien vers le site www.blogspot.com, qui lui demande une connexion au compte Google pour ensuite afficher le dashboard.
C'est moche (on s'attendrait à au moins une page d'accueil, pour expliquer ce que c'est que Blogger, au lieu de tout simplement nous jeter un écran de login sur la figure), mais c'est correct. La version française (et la version blogspot.co.uk aussi, et sans doute d'autres) ne fait que rediriger vers la recherche Google. Ce qui est assez impoli...

Le pire, c'est que le domaine blogspot n'a même pas de contrôle sur le sous-domaine www ! Cela veut dire qu'un pauvre malheureux qui essaie de visiter www.blogspot.fr (ou www.blogspot.co.uk, etc.) finit par retomber sur le blog personnel d'un utilisateur (qui, en occurrence, s'appelle inne et qui n'a pas mis grand chose sur sa page) :


(Pour les curieux, Google Traduction dit que c'est de l'indonésian.)

Heureusement que cette personne ne cherche pas à faire du phishing avec cette page, car ce serait très facile de tromper plein d'utilisateurs, en les faisant croire que c'est la page "officielle" de Blogger pour leur demander de se loguer et récupérer leur mot de passe.
Bien sûr, Google fermerait le compte peu après, mais le temps de le faire, la personne aurait sans doute le temps de profiter des identifiants. Ou sinon, une personne moins malveillante pourrait tout simplement mettre de la publicité sur cette page, en récoltant de l'argent gratuit grâce au manque d'attention de Google !

Comment ça se fait que Google s'en fiche d'une attaque aussi facile ? Le seul domaine qui agit comme attendu est www.blogspot.com. Pour le reste du monde, Google laisse un trou de sécurité énorme. Je me demande si cet utilisateur www ne fait qu'attendre le bon instant pour attaquer/vendre son site...