Google a évité le pire : un bug découvert par un expert en sécurité, qui permettait d’accéder à la liste complète des soucis irrésolus de la firme de Mountain View, a été corrigé par l’entreprise.

Google l’a peut-être échappé belle et les utilisateurs de ses services aussi. En effet, l’entreprise américaine a eu vent de l’existence de trois vulnérabilités dans son outil de suivi des bugs qui auraient pu permettre à un individu malveillant de les consulter à distance et de les utiliser dans son propre intérêt, soit en les exploitant directement soit en les revendant sur le marché noir.

Fort heureusement, il apparaît que ça n’a pas été le cas. En effet, les trois brèches en question ont été colmatées par le géant du net, probablement avec empressement au vu du risque qu’elles faisaient courir à l’entreprise américaine à et ses clients : l’outil en cause est utilisé par Google pour suivre les bugs identifiés mais qui n’ont pas encore été corrigés.

Sundar Pichai

Sundar Pichai, le PDG de Google.

Source : CC Sam Churchill

Il faut dire que la personne qui a découvert ces vulnérabilités a eu un comportement responsable, raconte Bleeping Computer. Une fois le problème constaté, il a contacté discrètement Google pour lui faire part de ses trouvailles. En conséquence, la firme de Mountain View l’a récompensé en lui versant respectivement 3 133,7, 5 000 et 7 500 dollars. Soit plus de 15 600 dollars au total.

Le premier bug permettait d’enregistrer une adresse e-mail en « @google.com » en se servant du schéma générique de nommage d’adresse email de Buganizer [le nom de l’outil de suivi des bugs de Google, ndlr]. Le deuxième servait à s’inscrire aux notifications des bugs afin de les recevoir. Et le troisième consistait à contourner l’API de Buganizer pour avoir accès à n’importe quel bug.

brise-casse-faille-breche-vulnerabilite

CC Lenz

Une somme suffisante ?

Reste une question : les sommes versées par Google au chercheur à l’origine de la découverte des trois failles sont-elles d’un montant suffisant ? La question mérite d’être posée, étant donné que celles-ci menaient vers d’autres fragilités irrésolues — et potentiellement graves —  référencées par l’entreprise américaine. Bien sûr, les gains amassés par l’intéressé, un expert en sécurité roumain, sont loin d’être négligeables.

L’intéressé s’est également interrogé, en se demandant si le fait de récompenser de 7 500 dollars le signalement d’un bug permettant de voir les problèmes internes de Google était juste ou si un bonus spécial n’aurait pas pu être accordé. On devine bien qu’Alex Birsan — c’est son nom — penche plutôt pour la deuxième option, étant donné qu’il qualifie le bug de « Saint Graal des failles ».

Ce contenu est bloqué car vous n’avez pas accepté les cookies et autres traceurs. Ce contenu est fourni par Twitter.
Pour pouvoir le visualiser, vous devez accepter l’usage étant opéré par Twitter avec vos données qui pourront être utilisées pour les finalités suivantes : vous permettre de visualiser et de partager des contenus avec des médias sociaux, favoriser le développement et l’amélioration des produits d’Humanoid et de ses partenaires, vous afficher des publicités personnalisées par rapport à votre profil et activité, vous définir un profil publicitaire personnalisé, mesurer la performance des publicités et du contenu de ce site et mesurer l’audience de ce site (en savoir plus)

Gérer mes choix

Nouveauté : Découvrez

La meilleure expérience de Numerama, sans publicité,
+ riche, + zen, + exclusive.

Découvrez Numerama+

Abonnez-vous à Numerama sur Google News pour ne manquer aucune info !

Google

Google

Télécharger gratuitement