« Nous vous laissons vérifier et nous dire si c’est bon de votre côté ». Le 7 juin 2019, le chercheur Zohar Sachar reçoit un email de la part de Google, qui lui indique que le bug qu’il a découvert un mois et demi plus tôt a été réparé. À ce stade de la procédure, le spécialiste avait déjà reçu 5 000 dollars de la part du géant américain, qui a souligné sa « jolie prise ».
Mais voilà, Sachar est en voyage d’affaires, et il tourne en rond dans sa chambre d’hôtel. « Quelque chose dans l’ennui de ce moment m’a poussé à dépasser mon état d’esprit initial qui était ‘il s’agit de Google, ils savent réparer ce genre de bug’ », écrit-il dans son billet de blog, repéré par ZDNet. Et il a bien fait : 10 minutes plus tard, il répondait à l’équipe de Google que leur réparation était extrêmement facile à contourner. Et 2 heures plus tard, ses interlocuteurs le remercieront pour sa réponse, un email qui sera suivi par une nouvelle prime de 5 000 dollars deux semaines plus tard.
Google récompense les chercheurs qui trouveraient des vulnérabilités sur ses services et produits en fonction d’une grille prédéfinie. // Source : Google
Bingo : le chercheur a doublé sa mise avec une simple vérification. C’est une ficelle connue des plus gros chasseurs de bugs, qui vérifient régulièrement si des vulnérabilités qu’ils ont déjà remontées sont à nouveau exploitables. Un bon moyen pour faire fructifier le travail déjà fait, sans trop d’effort.
Pour obtenir ces récompenses, Sachar a contacté le Google Vulnerability Reward Programs (VRP), le programme de bug bounty qui encadre le champ des applications, produits, et pages web que les chercheurs extérieurs ont le droit de tenter d’attaquer. Si ces derniers trouvent une vulnérabilité et que leur preuve de concept est acceptée par Google, la vulnérabilité sera notée sur une échelle de dangerosité. Selon ce score, le géant américain récompensera le chercheur d’un montant allant de quelques centaines de dollars à plus de 200 000 dollars pour la prime la plus importante distribuée à ce jour.
Deux vulnérabilités XSS en une
La vulnérabilité pointée par Zohar Sachar portait sur Google Maps. Elle rentrait dans la catégorie des « XSS », des bugs qui permettent à une personne extérieure à l’équipe de développement de la page d’injecter du code sur celle-ci. Dans le pire des cas comme Magecart, ces bugs peuvent mener à du vol d’informations, par exemple des détails de cartes bancaires.
Celle détectée sur Maps n’aurait a priori pas eu des conséquences si graves, même s’il n’est pas toujours facile d’estimer la créativité des malfaiteurs pour exploiter un bug. Le bug découvert par Sachar se logeait dans l’outil d’exportation des cartes Google Maps. Il est possible de les télécharger dans un format spécifique aux données géospatiales, le KML. Seulement, un des modules (la section CDATA) censés limiter l’écriture du code de ces pages pouvait être contourné en ajoutant simplement quelques signes comme « ]]> ». L’attaquant pouvait donc ajouter autant de code qu’il voulait à la suite, et ainsi modifié l’exportation.
Une rapide vérification pour doubler sa prime
Lorsque Google l’a contacté après la première réparation, Sachar a tenté la même méthode d’exploitation. Il a découvert que l’entreprise avait juste ajouté une nouvelle section CDATA, qui pouvait être contournée de la même façon que la première. « J’étais franchement surpris par la simplicité du contournement de la nouvelle protection », écrit-il.
L’histoire finit bien : Google s’est montré exemplaire dans sa remise de prime, et le bug est désormais correctement réparé. De son côté, Sachar a depuis pris l’habitude de valider les réparations, et il a déjà obtenu une autre double prime grâce à son nouveau réflexe : « Je vous encourage à faire de même.»
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !
