Une faille découverte par des chercheurs en cybersécurité permettait d'identifier les utilisateurs YouTube grâce à leur Gaia ID. Google a mis à jour sa plateforme pour corriger cette vulnérabilité, mais le délai de quatre mois a soulevé des inquiétudes.

Quatre mois plus tard, Google a finalement corrigé une faille critique menaçant la confidentialité des utilisateurs YouTube. Découverte par les chercheurs en cybersécurité Brutecat et Nathan, elle permettait, en combinant deux API de Google , d'obtenir l'identifiant unique (Gaia ID) d'un compte YouTube et de le convertir en adresse e-mail. Un véritable problème pour ceux qui tiennent à préserver leur anonymat sur la plateforme.

Google vient enfin de déployer un correctif, mais il aura fallu attendre plus longtemps que de raison. Proton VPN est l'un des fournisseurs VPN qui a le plus évolué au cours des derniers mois. Affichant l'une des plus belles interfaces du marché, Proton VPN intègre désormais un accélérateur de VPN qui augmente jusqu'à 400 % les vitesses de connexion. En analysant l'API People du site, ils ont repéré un détail troublant : lorsqu'un internaute ouvrait le menu de blocage d'un live chat, YouTube transmettait en arrière-plan un identifiant, le Gaia ID. Ce numéro unique, utilisé en interne par Google pour lier les comptes à ses différents services, n'est pas censé être accessible. Pourtant, en modifiant légèrement la requête, ils ont découvert qu'il était possible de récupérer ce matricule pour n'importe quelle chaîne, sans même passer par les options de blocage. Intéressant, mais encore inutilisable tel quel. La faille est devenue bien plus inquiétante lorsqu'ils ont fouillé du côté de Pixel Recorder, un outil de partage d'enregistrements audio. L'API du service permettait de soumettre un Gaia ID et renvoyait en retour… l'adresse mail du compte Google associé. Autrement dit, en combinant ces deux failles, n'importe quel passionné d'informatique un poil chevronné pouvait révéler l'identité cachée derrière toutes les chaînes YouTube. Un problème de taille pour les créateurs de contenu qui utilisent un pseudonyme, mais aussi pour les journalistes, activistes, et toutes celles et ceux qui tiennent à leur anonymat en ligne. Une faille minimisée et un patch tardif Brutecat et Nathan ont signalé la faille à Google le 24 septembre 2024. La réponse ne s'est pas faite attendre, mais elle était loin d'être à la hauteur du problème. L'entreprise a classé l'alerte comme un simple doublon d'un bug déjà identifié et versé une prime de 3 133 dollars aux chercheurs. Une somme modeste au regard de l'ampleur de la brèche. Naturellement, les chercheurs n'en sont pas restés là. En prouvant que la faille concernait d'autres services Google et qu'elle pouvait exposer des identités, ils ont contraint l'entreprise à revoir son jugement. La prime a été réévaluée à 10 633 dollars, preuve que le problème était plus sérieux que Google ne voulait bien l'admettre. Il aura donc fallu attendre le 9 février 2025 pour que Google annonce avoir corrigé le tir. L'identifiant Gaia n'est plus accessible via l'API YouTube problématique, et Pixel Recorder ne permet plus d'en extraire l'adresse e-mail. La gestion du blocage sur YouTube a aussi été revue pour éviter toute fuite involontaire d'informations. Officiellement, aucun acteur malveillant n'aurait exploité cette faille avant sa correction. Mais entre la première alerte et le correctif final, plus de quatre mois se sont écoulés. Un délai bien trop long pour une vulnérabilité aussi critique. Rejoignez la communauté des passionnés de nouvelles technologies. Venez partager votre passion et débattre de l'actualité avec nos membres qui s'entraident et partagent leur expertise quotidiennement. Quand il n'y en a plus, il y en a encore : Google patche sa dixième faille zero-day dans Chrome Des adresses Gmail usurpées par des hackers pour accéder à Google Workspace et services tiers, Google rectifie le tir





