Google a beau avoir dans son équipe des centaines d’ingénieurs en sécurité informatique. Cela n’a cependant pas empêché à Security Explorations de trouver des failles de sécurité critique sur son service plateforme-as-a-service App Engine. La firme de Mountain View a été heureusement prévenue à temps de l’existence de ces vulnérabilités.
Laxisme de sécurité chez Google
Les failles méritaient-elles d’être signalées rapidement à Google ? La réponse est oui. Selon Adam Gowsiak, CEO d’Explorations, en effet, ces vulnérabilités donnent la possibilité à des hackers d’esquiver le sandbox de l’environnement Java de la plateforme du géant d’IT. Elles favoriseraient ainsi l’exécution d’applications malveillantes dans tous les serveurs de ce dernier.
Le haut dirigeant de la société polonaise de sécurité n’a pas manqué de pointer du doigt les mauvaises implémentations et le laxisme de sécurité chez Google après la découverte de ces 7 failles. Malgré cela, il prit le soin de contacter directement le géant du web et de lui envoyer secrètement les vulnérabilités. Cela fait maintenant plus de trois semaines que le Mountain View a reçu le message et la preuve de concept concernant ces failles. Aucun retour n’a cependant été obtenu par Adam Gowdiak et son équipe. Pourtant, deux jours, au plus, devront suffire à un fournisseur majeur de logiciels pour l’exécution du code de la preuve de concept transmise. Le CEO de Security Exploration n’a pas caché son indignation face à cette attitude du géant de l’Internet, une société prétendant pourtant disposer de centaines d’ingénieurs en sécurité partout dans le monde.
Correction discrète
Adam Gowdiak va même plus loin en suggérant que la firme de Moutain View aurait déjà corrigé, sans l’informer, une partie des vulnérabilités communiquées par son entreprise. L’objectif ? Ne pas associer la Société polonaise dans le traitement du problème revient à dire que le géant du Web n’aura pas à lui payer des primes. Pourtant, il est dans sa tradition d’attribuer des récompenses aux chercheurs qui trouvent des vulnérabilités sur certains de ses produits.
Une face cachée de Google vient donc d’être révélée. Par ailleurs, ce n’est pas la première fois que la Security Explorations est victime d’une telle attitude de la part du géant de l’IT. Le nombre de failles trouvées par la société polonaise pour ce dernier s’élève déjà aujourd’hui à 30, des failles qui auraient coûté 200 000 dollars américains en primes de bug bounty.
Google a réagi
La firme de Mountain View n’a pas tardé à réagir suite au rapport de la société Security Explorations. Elle a notamment confirmé l’information selon laquelle on lui a communiqué l’existence de ces vulnérabilités de sa plateforme cloud, sans donner de précisions en ce qui concerne l’entreprise ayant réalisé les découvertes. Elle a cependant soutenu qu’elle collabore avec le chercheur ayant signalé ces bugs. Laquelle des deux entreprises ment donc ? Difficile de le savoir. On est cependant sûr d’une seule chose : le CEO Adam Gowdiak n’est pas satisfait du traitement fait par Google à son entreprise après la découverte de 30 failles.