Cela ressemble à un scénario de film d’espionnage, et pourtant, c’est bien réel. Une faille récemment identifiée a permis, pendant un temps, d’accéder au numéro de téléphone lié à n’importe quel compte Google. Le plus troublant dans cette affaire ? Il ne fallait ni mot de passe ni accès direct au compte concerné. Une simple combinaison d’adresse e-mail et d’une manipulation sur IPv6 suffisait à faire apparaître des données privées.
Ce genre de vulnérabilité montre à quel point certaines informations supposées sécurisées peuvent rester accessibles à des personnes mal intentionnées. Google a depuis colmaté la brèche, mais l’épisode soulève des questions essentielles sur la sécurité en ligne et la gestion des données personnelles.
L’origine de la vulnérabilité tient dans une interaction non protégée entre certaines API internes de Google et le protocole IPv6. En exploitant un système de récupération de compte, un chercheur en cybersécurité a découvert qu’il était possible d’obtenir des informations sensibles… comme le numéro de téléphone associé à un compte Gmail.
Il suffisait d’entrer une adresse mail dans un formulaire de récupération, d’utiliser une adresse IP spécifique au format IPv6, et de manipuler certaines requêtes réseau. Résultat : le système proposait un numéro de téléphone pour confirmer l’identité du compte… numéro qui, parfois, s’affichait presque entièrement.
Cette faille, aussi subtile qu’inquiétante, n’était pas à la portée du premier venu, mais son existence rappelle que même les plus grandes plateformes restent vulnérables.
| Donnée potentiellement accessible | Niveau de risque | Exploit corrigé ? | Durée d’exposition estimée |
|---|---|---|---|
| Numéro de téléphone | Élevé | Oui | Plusieurs semaines |
| Adresse IP de l’utilisateur | Modéré | Oui | Non communiqué |
| Email complet | Faible | Non concerné | — |
Google n’a pas officiellement communiqué la durée exacte pendant laquelle la faille était exploitable. Elle aurait été découverte par un chercheur indépendant, qui a rapidement alerté la firme américaine. En retour, celui-ci aurait reçu une récompense via le programme de bug bounty, sans que le montant ne soit précisé.
Même si la faille est désormais corrigée, elle met en lumière un problème plus large : notre dépendance à des services centralisés, où un simple numéro de téléphone devient une clé d’accès universelle. Beaucoup utilisent leur compte Google pour la messagerie, les réseaux sociaux, les paiements ou le stockage de documents.
Cet incident rappelle donc l’importance d’activer la double authentification, de limiter les informations partagées sur les réseaux, et de rester vigilant face aux tentatives de phishing. Dans le monde numérique actuel, la prudence reste la meilleure protection.
Et si une simple adresse IP peut suffire à faire fuiter un numéro, on comprend mieux pourquoi la sécurité en ligne n’a jamais été un sujet aussi crucial.
