Commentaires : Quand une grave faille permettait d'accéder à la liste des bugs irrésolus de Google

google
sécurité
bug
Tags: #<Tag:0x00007f92104526b8> #<Tag:0x00007f9210452578> #<Tag:0x00007f9210452438>

#1

Google l’a peut-être échappé belle et les utilisateurs de ses services aussi. En effet, l’entreprise américaine a eu vent de l’existence de trois vulnérabilités dans son outil de suivi des bugs qui auraient pu permettre à un individu malveillant de les consulter à distance et de les utiliser dans son propre intérêt, soit en les exploitant directement soit en les revendant sur le marché noir. Fort heureusement, il apparaît que ça n’a pas été le cas. En effet, les trois…. Publié sur http://www.numerama.com/tech/302363-quand-une-faille-permettait-dacceder-a-la-liste-des-bugs-irresolus-de-google.html par Julien Lausson


#2

Pourquoi « grave » ? Juste « faille » ça suffisait pas ?


#3

L’honnêteté ne paie pas !


#4

Bah si, dans la quasi totalité des cas, ils aurait eu juste un "merci" (voir même pas de réponse de tout)


#5

Et en France il aurait été poursuivi au pénal (mais on est sauvé, on a 3000 combattants cyber…).


#6

En fait, je fais une allusion à une vente de ces informations dans le black market, je suppose que le découvreur aurait pu gagner bien plus que ça.


#7

La ce n’est pas une question d’honnêteté, mais de légalité.


#8

pour comparer

110 000 $ pour 4 bug = 27 500 le bug

(chapeau aux découvreurs)


#9

Pour comparer:

:smiley:


#10

Je trouve étonnant que cet outil soit directement accessible via internet, j’aurais imaginé qu’il faille au moins passer par un VPN d’entreprise.
Envoyer des mails en clair récapitulant les failles 0 days ne me semble pas très prudent non plus (je suppose que les notification se font par mail). En tout cas, cela confirme que la NSA (et certainement d’autres) a accès à ces failles dès leur identification par Google, que l’entreprise collabore ou non.


#11

Ce sujet a été automatiquement fermé après 60 jours. Aucune réponse n'est permise dorénavant.