Google a évité le pire : un bug découvert par un expert en sécurité, qui permettait d’accéder à la liste complète des soucis irrésolus de la firme de Mountain View, a été corrigé par l’entreprise.

Google l’a peut-être échappé belle et les utilisateurs de ses services aussi. En effet, l’entreprise américaine a eu vent de l’existence de trois vulnérabilités dans son outil de suivi des bugs qui auraient pu permettre à un individu malveillant de les consulter à distance et de les utiliser dans son propre intérêt, soit en les exploitant directement soit en les revendant sur le marché noir.

Fort heureusement, il apparaît que ça n’a pas été le cas. En effet, les trois brèches en question ont été colmatées par le géant du net, probablement avec empressement au vu du risque qu’elles faisaient courir à l’entreprise américaine à et ses clients : l’outil en cause est utilisé par Google pour suivre les bugs identifiés mais qui n’ont pas encore été corrigés.

Sundar Pichai

Sundar Pichai, le PDG de Google.

Source : CC Sam Churchill

Il faut dire que la personne qui a découvert ces vulnérabilités a eu un comportement responsable, raconte Bleeping Computer. Une fois le problème constaté, il a contacté discrètement Google pour lui faire part de ses trouvailles. En conséquence, la firme de Mountain View l’a récompensé en lui versant respectivement 3 133,7, 5 000 et 7 500 dollars. Soit plus de 15 600 dollars au total.

Le premier bug permettait d’enregistrer une adresse e-mail en « @google.com » en se servant du schéma générique de nommage d’adresse email de Buganizer [le nom de l’outil de suivi des bugs de Google, ndlr]. Le deuxième servait à s’inscrire aux notifications des bugs afin de les recevoir. Et le troisième consistait à contourner l’API de Buganizer pour avoir accès à n’importe quel bug.

brise-casse-faille-breche-vulnerabilite

CC Lenz

Une somme suffisante ?

Reste une question : les sommes versées par Google au chercheur à l’origine de la découverte des trois failles sont-elles d’un montant suffisant ? La question mérite d’être posée, étant donné que celles-ci menaient vers d’autres fragilités irrésolues — et potentiellement graves —  référencées par l’entreprise américaine. Bien sûr, les gains amassés par l’intéressé, un expert en sécurité roumain, sont loin d’être négligeables.

L’intéressé s’est également interrogé, en se demandant si le fait de récompenser de 7 500 dollars le signalement d’un bug permettant de voir les problèmes internes de Google était juste ou si un bonus spécial n’aurait pas pu être accordé. On devine bien qu’Alex Birsan — c’est son nom — penche plutôt pour la deuxième option, étant donné qu’il qualifie le bug de « Saint Graal des failles ».

https://twitter.com/alxbrsn/status/917775562571173888

Découvrez les bonus

+ rapide, + pratique, + exclusif

Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.

Découvrez les nombreux avantages de Numerama+.

S'abonner à Numerama+

Vous avez lu 0 articles sur Numerama ce mois-ci

Il y a une bonne raison de ne pas s'abonner à

Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.

Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :

  • 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
  • 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
  • 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.

Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.

S'abonner à Numerama+

Marre des réseaux sociaux ? Rejoignez-nous sur WhatsApp !