Une équipe de recherche internationale a démontré qu'il était possible de pirater les services Google et de reconstituer l'historique des recherches des utilisateurs.

Premièrement, à l'exception de quelques services accessibles uniquement par le protocole HTTPs (par ex., Gmail), les chercheurs ont constaté que de nombreux services Google restent vulnérables au piratage de sessions simples.

Ensuite, ils ont présenté Historiographer, nouvelle forme d'attaque qui reconstitue l'historique de recherche des utilisateurs de Google, à savoir l'historique de Google, même si ce service est censé être protégé contre le piratage de session par une politique de contrôle d'accès plus stricte. Historiographer utilise une technologie qui reconstitue l'historique des recherches à partir des inférences tirées des suggestions personnalisées du moteur de recherche Google. L'attaque reposait sur le fait que les utilisateurs de Google recevaient des suggestions personnalisées en fonction des mots-clés utilisés lors de recherches précédentes. Les chercheurs ont montré que près d'un tiers des utilisateurs suivis étaient connectés à leur compte Google. L'historique Web étant activé pour la moitié d'entre eux, ils étaient vulnérables à ce type d'attaque.

Les attaques en question sont générales et soulignent les problèmes de confidentialité des architectures mixtes combinant des connexions sécurisées et non sécurisées. Les résultats de la recherche ont été communiqués à Google. La société a alors décidé de suspendre temporairement les suggestions de recherche à partir de l'historique et proposé d'accéder aux pages de l'historique Google uniquement via le protocole sécurisé HTTPs

Source :