Journal petit bug chez google (gmail)

Posté par  .
Étiquettes : aucune
0
21
août
2008
bonjour

bon j'ai trouvé (accidentellement) un bug chez gmail qui permet de recevoir le courrier destiné a d'autre personne

surpris de recevoir le courrier destiné à une autre personne que moi, je viens de m'appercevoir qu'il s'agit d'une société qui a acheté un domaine et transferé chez google sa messagerie (c'est clair ?).

on appel cette société, truc.com tous le courrier a destination de truc.com passe par gmail qui le distribue au compte associé, rien de plus normal. MAIS aussi au compte gmail.com associé. mon adresse mail (fausse): star_dark@gmail.com pas de bol ce pseudo est aussi utilisé par truc.com (star_dark@truc.com) donc je me retrouve dans ma boite le courrier de star_dark@truc.com :), apparement je ne recois que le courrier transmis dans le meme domaine soit @truc.com bref le courrier interne.

hop j'ai coché le message pour le mettre dans le spam. je voulais contacter google et @truc.com puis je me suis dit qu s'il ferme mon compte mail je vais etre bien emmerdé !

une aute raison pour une société de ne pas utiliser google ? du moins gmail
  • # dubitatif

    Posté par  . Évalué à 9.

    J'hésite entre deux réactions.

    La première serait "OMFG !!!!111one!!" (ou quelque chose dans le genre). La seconde serait "bien fait pour leur gueule".

    Qu'une société accepte de transférer sa messagerie à quelqu'un (un prestataire de service par exemple) peut se comprendre. Mais envoyer ça sur un service gratuit avec lequel on a aucun lien contractuel[1] c'est tout bonnement incroyable. En plus de ça, on n'a aucun contrôle sur les mails, il est impossible de gérer une politique de sauvegarde, de gestion des mails ([white|black|grey]listing, antispam, antivirus, ...) propre à l'entreprise. De plus je ne vois pas comment on pourrait gérer tout ça simplement depuis une base sql ou depuis un annuaire ldap ou AD.

    Quand aux courriers confidentiels il ne faut même pas y compter !

    Tout ça sur un service qui est encore marqué en beta...


    Quand je pense que dans ma boite ils font pareil :/
    Toujours la solution de la simplicité, peu importe s'il y a des pubs, si ça pose des problèmes de confidentialité, peut importe si on explose le budget (et de toutes façons on n'a pas de sous pour acheter votre SAN ou votre baie Emc² d'abord), tant pis si c'est moins performant...
    Le décideur pressé ne veut pas être emmerdé, c'est tout ce qui l'inquiète.


    Bref, gmail c'est le ma(i)l et personne ne devrait l'utiliser, mais ce n'est que mon avis qui n'intéresse personne.


    Je me rassure (vaguement) en supposant que la société en question n'est qu'une petite PME et qu'elle n'a pas les moyens d'avoir ses prorpes serveurs. Ça doit être ça, espérons.



    [1] Enfin en tout cas, je n'en ai jamais entendu parler. Dites moi que je me trompe et qu'ils ont bien démarché google et un contrat avec heu. Non ? Siiiii dites le moi !
    • [^] # Re: dubitatif

      Posté par  . Évalué à 10.

      Heu, juste pour modérer un peu le propos (mais pas le problème :)).

      GMail offre un service payant aux entreprises (j'ai une adresse qui utilise ça).
      Grosso modo, c'est GMail, mais avec le logo de l'entreprise, pas de pub, et pas de GTalk non plus.

      Donc oui, c'est intéressant pour une PME : service mail à moindre coût. Reste le problème de la confidentialité (y a-t'il une clause dans le contrat à ce sujet?) et des bugs... un peu plus qu'ennuyeux.
    • [^] # Re: dubitatif

      Posté par  . Évalué à 3.

      [1] Enfin en tout cas, je n'en ai jamais entendu parler. Dites moi que je me trompe et qu'ils ont bien démarché google et un contrat avec heu. Non ? Siiiii dites le moi !

      http://www.google.com/a/help/intl/en/admins/editions.html ?
    • [^] # Re: dubitatif

      Posté par  . Évalué à 10.

      | il est impossible de gérer une politique de sauvegarde

      Faux.

      Tu peux très bien mettre en place un téléchargement régulier de tous les mails via imap/pop sur un serveur chez toi afin d'avoir une sauvegarde.

      Comme disent certains, my 2 cents
    • [^] # Re: dubitatif

      Posté par  . Évalué à 10.

      >> Quand aux courriers confidentiels il ne faut même pas y compter !
      Juste une réaction à ce sujet.
      Une information confidentiel, on ne l'envoit tout simplement pas par mail !
      C'est un système qui n'est absolument pas sûr. Tu peux choisir la sécurité que tu veux de ton côté, tu ne sais pas ce qu'il en sera de l'autre, et logiquement, un mail existe toujours au moins en double.
      Donc à partir de là, où qu'il aille n'est pas vraiment un problème.
      Si on veut de la confidentialité, on chiffre et signe ces mails, c'est très simple, et là, on peut très bien le faire en utilisant gmail.

      J'ai un compte gmail, parce que ça m'offre beaucoup de place, pas mal de service sympa comme les galeries photos, et utilive globalement bien les standards.
      Je m'en sert pour jabber aussi, parce que j'aime bien l'association messagerie / messagerie instantannée.
      Et bien pour mais mail, je passe par thunderbird avec enigmail et gajim qui chiffre les transmissions.
      Alors oui tout ces flux chiffrés sont stocké chez eux, c'est magnifique, mais bon, je ne sais pas ce qu'ils vont en faire.

      Tout ça pour dire que la confidentialité ne s'obtient correctement que par le chiffrement et la signature numérique (autre problème des mails, tout le monde peut se faire passer pour n'importe qui). À partir de là, tout logiciel permettant d'utiliser ces clef permet d'être tranquille quelque soit le serveur qui stock tout ça.
      • [^] # Re: dubitatif

        Posté par  (site web personnel) . Évalué à 5.

        >>>Une information confidentiel, on ne l'envoit tout simplement pas par mail !
        >>>C'est un système qui n'est absolument pas sûr. Tu peux choisir la sécurité que tu veux de ton côté, tu ne sais pas ce qu'il en sera de l'autre,


        Je plussoie, en me marrant en pensant à toutes les boites que je connais dans lesquelles on envoie tant de choses "confidentiel société" par mail, sans enigmail, sans rien...
        Et je parle de boites avec un DSI, une direction informatique, qui se gargarise sur la mise en place de Sap ou d'autres cochonneries, et où les résultats sortis par Sap sont faux, tout le monde en convient, mais "on a mis en place SAP !, on est comme les autres".

        ウィズコロナ

        • [^] # Re: dubitatif

          Posté par  . Évalué à 7.

          il est des notres-o-treuh !
          il a mis en place son SAP comme les autres-o-treuh !
      • [^] # Re: dubitatif

        Posté par  (site web personnel) . Évalué à 3.

        D'un autre côté, dans le cas particulier décris dans ce journal d'un mail interne ça ne devrait en théorie pas poser de problème quand le système est bien fait.
        Quand le système de mail de la boite est bien foutu, les mails interne ne devrait pas avoir à sortir de l'entreprise. Mais quand l'entreprise utilise gmail....

        Mais de manière générale, même en interne, ne jamais transférer de données confidentielles sans qu'elles oisent protégées, on ne sait pas qui est l'andouille qui à mis en place le système....
  • # pas reproductible...

    Posté par  (site web personnel) . Évalué à 9.

    Salut,

    J'ai été surpris par l'énormité de cette potentielle faille et je me suis empresser de tester (oui, j'ai plusieurs domaines sur google, oui je sais...). J'ai créé un compte gmail (disons zeoipoieeaja@gmail.com) et un compte equivalent sur un de mes domaines gérés par google (zeoipoieeaja@mondomaine.com).

    J'ai ensuite envoyé un mail à zeoipoieeaja@mondomaine.com et heureusement, je ne l'ai recu que sur ce compte. Rien sur zeoipoieeaja@gmail.com.

    Tu es sur que tu reçois systématiquement les mails de l'adresse @truc.com ? Peut-être que l'expéditeur n'était pas sur de l'adresse et a fait un cc ou un bcc vers l'adresse équivalente @gmail.com ?

    Ou bien c'est le mec de @truc.com qui s'est gourré et qui a mis un forward auto vers ta boite à toi, peut-être...
    • [^] # Re: pas reproductible...

      Posté par  (site web personnel) . Évalué à 2.

      Idem, cela ne m'est jamais arrivé d'avoir un mauvais mail (alors que j'avais un autre domaine configuré sur google passé un temps avec le même login).
      Je penche aussi pour un problème du coté de la config de truc.com ...
      • [^] # Re: pas reproductible...

        Posté par  . Évalué à 10.

        ha merde, je viens de regarder les entetes :/ (choses que j'aurais du faire avant de poster ici) apparement cela vient bien d'un souci du coté de truc.com je vais leur signaler.

        snif ! c'est vrai que je trouvais cela bizarre de la part de google
  • # Scénario de signallement

    Posté par  . Évalué à 4.

    hop j'ai coché le message pour le mettre dans le spam. je voulais contacter google et @truc.com puis je me suis dit qu s'il ferme mon compte mail je vais etre bien emmerdé !

    Je comprends ton appréhension à signaler ce problème. Toutefois je pense que je procèderais ainsi:
    - envoi d'un mail au service concerné de google (http://mail.google.com/support/bin/request.py?contact_type=c(...) ?) avec une adresse mail différente. Tu signales le problème, expliques que tu n'as rien tenté, rien demandé etc...
    - selon la réaction de leur équipe, tu juges ou pas qu'il est possible de donner les coordonnées de ton compte et de la société concernée.

    Enfin, je dis ça et je ne vois peut être pas tous les inconvénients de ce scénario...
  • # Dubitatif

    Posté par  . Évalué à 10.

    A mon avis il s'agit d'une mauvaise configuration par les admins de truc.com qui font une redirection de mails par catchall plutot que de changer le MX, il est impensable qu'il y ait ce bug sur un produit autant utilisé (et je n'imagine pas une telle erreur de design). Tu imagines bien que les sociétés qui utilisent GMail avec Google Apps (il y en a beaucoup) ont forcément les noms évidents (style postmaster, webmaster, sales, mais aussi les noms fréquents: smith, etc).

    Tu devrais contacter "truc.com" (vu qu'il est improbable que Google soit en cause). et même si tu contactais Google, il ne feraient rien à ton compte mail...

    Une autre raison de ne pas tirer de conclusions hâteuses...
  • # Mwai

    Posté par  (site web personnel) . Évalué à 2.

    Je pense que c'est plutot google que tu devrais prévenir...

    Sinon, moi j'ai remarqué un autre truc qui n'a rien à voir : google ignore les points dans les noms d'utilisateurs

    Donc envoyer un email sur foo.bar@gmail.com est identique à foobar@gmail.com
  • # J'ai un gros doute

    Posté par  . Évalué à 4.

    Tu reçois tout simplement les emails adressés à TON adresse. Et la société qui a déposé truc.com c'est simplement trompé en disant partout que son adresse email est star_dark@gmail.com
    Logiquement, tout le monde leur écrit... à ton adresse.
    • [^] # Re: J'ai un gros doute

      Posté par  (site web personnel, Mastodon) . Évalué à -8.

      Note que, le fait même qu'il puisse y avoir un doute et que le bug décrit soit tout à fait possible rend pour moi l'utilisation de Google Aps complètement irresponsable dans un cadre professionnel.

      Mes livres CC By-SA : https://ploum.net/livres.html

      • [^] # Re: J'ai un gros doute

        Posté par  . Évalué à 4.

        Voilà un raisonnement pour le moins étrange.
        Le fait qu'il y ai un doute t'empêche de [on mets ce qu'on veut ici], ok. Le doute en question est non vérifié, et surtout c'est probablement une erreur. On en saura peut-être plus tout à l'heure.

        Alors voyons, j'ai un doute à ton sujet. Je pense que tu es un terroriste pédophile qui participe activement au réchauffement climatique de la lune en téléchargeant des vidéo-clips de Mozart. C'est un doute aussi peu crédible que celui décrit dans ce journal, mais c'est un doute. On fait quoi ? On te lapide tout de suite ou on prends la peine de commencer à vérifier avant ? :-)

        Nan sérieux ploum, tes contributions sont habituellement meilleures. Je mets ça sur le compte d'une baisse de régime. On oublie :-)

        Pour ce qui est de l'irresponsabilité (pro ou pas), je mets ça au même niveau que d'utiliser du Microsoft ou autre. Je ne vois pas plus de danger avec Google qu'avec Windows. Aterme peut-être, mais pour le moment, c'est kif-kif à mon avis. Cela dit, je n'utilise que leur moteur de recherche ; le reste, je m'en fiche royallement.
        • [^] # Re: J'ai un gros doute

          Posté par  (site web personnel) . Évalué à 2.

          Nan sérieux ploum, tes contributions sont habituellement meilleures. Je mets ça sur le compte d'une baisse de régime

          C'est clair qu'entre son aveu de ne pas comprendre ldap, et les commentaires idiot sur rails, la qualité baisse :(
        • [^] # Re: J'ai un gros doute

          Posté par  (site web personnel, Mastodon) . Évalué à 2.

          Je m'explique :

          Un service aussi important que le mail ne devrait, pour moi, pas être délocalisé vers une entreprise extérieure pour un cadre professionnel. Je dis toujours, quand j'écris un mail, que je dois accepter que ce mail soit afficher en grand sur la place publique.

          Or, en milieu professionnel, on échange beaucoup de mails "confidentiels" qui ne peuvent en aucun cas sortir d'un cercle restreint. Si certains de ces mails deviennent publics, cela peut devenir une catastrophe.

          Je crois que jusque là, tout le monde est d'accord, non ?


          Et bien en utilisant un service délocalisé de mail, on prend déjà un risque. Cependant, si on a un prestataire donné avec un interlocuteur privilégié, qui est payé pour respecter ces conditions, on peut faire un minimum confiance.

          Par contre, Google est une grosse entreprise qui fait tout son argent sur l'analyse et le recoupement d'informations (recherche, pub ciblée), qui offre un service gratuit et sans garanties. Je trouve que c'est une folie pure de la part d'une société que d'utiliser ces services.

          Je ne crache pas sur Google. Ils font plein de trucs biens et offrent un service qu'ils ont le droit d'offrir. Je dis juste que ces services doivent être utilisés en connaissance de cause, ce qui n'est pas je pense le cas de tout le monde.

          Mes livres CC By-SA : https://ploum.net/livres.html

          • [^] # Re: J'ai un gros doute

            Posté par  . Évalué à 3.

            Je suis d'accord avec ta conclusion (ne pas confier ses emails à d'autres), mais pas sur les arguments.

            Pour ma part, le seul vrai argument est ce qui est développé dans Minitel 2.0 (encore et toujours, rien que des références à cette présentation).

            Selon toi c'est une question de confidentialité. Chez nous, ce qui est réellement confidentiel ne doit JAMAIS être traité informatiquement. Pas d'email, pas de fichier Word (patapé !), rien de rien. La raison: si c'est VRAIMENT confidentiel, alors un informaticien pourrait y avoir accès et le secret serait éventé. Une erreur humaine, une intrusion, etc, pourrait faire le même effet. Et les choses VRAIMENT confidentielles dans notre entreprise sont plutôt rares. Un salaire est-il très très confidentiel ? Bof, et en plus les salaires sont dans une base de données utilisée par le logiciel de paie, donc c'est non confidentiel. Une mise en demeure ? Bof bof. La négociation du montant du "cadeau" pour une CDEC, ça c'est vraiment confidentiel, et ça ne passe pas par l'informatique (et il n'y a d'ailleurs aucune raison pour que ça y passe).

            Dans d'autres entreprises, c'est différent. Un cabinet d'avocats, des journalistes, DASSAULT, etc.
            • [^] # Re: J'ai un gros doute

              Posté par  (site web personnel) . Évalué à 1.

              « Bof bof. La négociation du montant du "cadeau" pour une CDEC, ça c'est vraiment confidentiel, et ça ne passe pas par l'informatique (et il n'y a d'ailleurs aucune raison pour que ça y passe). »

              Encore heureux étant donné que ce "cadeau" s'appelle un pot de vin et est illégal ils ont vraiment pas intérêt a ce que cela passe par l'informatique, sans quoi il pourrait tomber dans une backup remise a la justice si elle fait un jour son boulot et fait tomber les personnes qui font ces cadeaux !
              • [^] # Re: J'ai un gros doute

                Posté par  . Évalué à 2.

                la justice si elle fait un jour son boulot
                Pas de danger :-) Ce sont des fonctionnaires, il n'y a aucun risque de ce côté là.

                Surtout ne JAMAIS faire tomber ces putxxxx de politicards de merde. Si tu veux ouvrir un magasin de nécessitant une CDEC alors tu es OBLIGE de payer en général 2 pots de vin (un pour le maire de la commune, un pour le conseiller général du canton bien souvent).

                Ces pratiques sont:
                - connues de tous les acteurs concernés
                - un passage obligé
                - à peine dissimulées
                - hors justice car ces pôôôôvres fonctionnaires n'ont aucune preuve (en fait, il n'ont surtout pas envoie d'en avoir)

                Et le mieux là dedans, c'est que la CDEC est faite pour protéger les petits commerçants. Seuls les entreprises bien pleine de pognon ont les moyens de payer ces pots de vin. Donc la CDEC protège les grandes enseignes. La bonne blague. Tout cela était déjà parfaitement connu au moment du premier vote de la loi. Les acteurs en question savaient déjà que ce serait une pompe à fric, les torchons^Wjournaux de l'époque en parlait, c'était donc une évidence.

                Les pots de vin, c'est clairement de la faute des entreprises :-)

Suivre le flux des commentaires

Note : les commentaires appartiennent à celles et ceux qui les ont postés. Nous n’en sommes pas responsables.