Google a évité le pire : un bug découvert par un expert en sécurité, qui permettait d'accéder à la liste complète des soucis irrésolus de la firme de Mountain View, a été corrigé par l'entreprise.

Google l’a peut-être échappé belle et les utilisateurs de ses services aussi. En effet, l’entreprise américaine a eu vent de l’existence de trois vulnérabilités dans son outil de suivi des bugs qui auraient pu permettre à un individu malveillant de les consulter à distance et de les utiliser dans son propre intérêt, soit en les exploitant directement soit en les revendant sur le marché noir.

Fort heureusement, il apparaît que ça n’a pas été le cas. En effet, les trois brèches en question ont été colmatées par le géant du net, probablement avec empressement au vu du risque qu’elles faisaient courir à l’entreprise américaine à et ses clients : l’outil en cause est utilisé par Google pour suivre les bugs identifiés mais qui n’ont pas encore été corrigés.

Sundar Pichai
Sundar Pichai, le patron de Google.
CC Sam Churchill

Il faut dire que la personne qui a découvert ces vulnérabilités a eu un comportement responsable, raconte Bleeping Computer. Une fois le problème constaté, il a contacté discrètement Google pour lui faire part de ses trouvailles. En conséquence, la firme de Mountain View l’a récompensé en lui versant respectivement 3 133,7, 5 000 et 7 500 dollars. Soit plus de 15 600 dollars au total.

Le premier bug permettait d’enregistrer une adresse e-mail en « @google.com » en se servant du schéma générique de nommage d’adresse email de Buganizer [le nom de l’outil de suivi des bugs de Google, ndlr]. Le deuxième servait à s’inscrire aux notifications des bugs afin de les recevoir. Et le troisième consistait à contourner l’API de Buganizer pour avoir accès à n’importe quel bug.

brise-casse-faille-breche-vulnerabilite
CC Lenz

Une somme suffisante ?

Reste une question : les sommes versées par Google au chercheur à l’origine de la découverte des trois failles sont-elles d’un montant suffisant ? La question mérite d’être posée, étant donné que celles-ci menaient vers d’autres fragilités irrésolues — et potentiellement graves —  référencées par l’entreprise américaine. Bien sûr, les gains amassés par l’intéressé, un expert en sécurité roumain, sont loin d’être négligeables.

L’intéressé s’est également interrogé, en se demandant si le fait de récompenser de 7 500 dollars le signalement d’un bug permettant de voir les problèmes internes de Google était juste ou si un bonus spécial n’aurait pas pu être accordé. On devine bien qu’Alex Birsan — c’est son nom — penche plutôt pour la deuxième option, étant donné qu’il qualifie le bug de « Saint Graal des failles ».

Partager sur les réseaux sociaux