Un lycéen reçoit une prime de 10 000 USD de Google après la découverte d’un bogue

Le mois dernier, Google a éliminé un bogue qui aurait pu permettre au premier utilisateur venu d’accéder à un site Internet interne de Google et puis, à des données sensibles.

Vendredi, la société a versé la généreuse prime de 10 000 dollars américains (près de 8 460 euros) au chercheur qui avait identifié ce bogue : il s’agit d’Ezequiel Pereira, un lycéen uruguayen.

C’est l’ennui pur et simple qui a conduit Pereira à cette découverte. Au début du mois dernier, ce lycéen, qui souhaite devenir plus tard chercheur en sécurité, trifouillait dans les services Google à l’aide de Burp Suite afin de modifier l’en-tête Host dans les requêtes envoyées au serveur d’App Engine. Alors que la majorité de ses tentatives débouchait sur la réponse 404, il est tombé sur yaqs.googleplex.com, un site interne qui ne présentait aucun mécanisme d’authentification par nom d’utilisateur/mot de passe, ni aucune autre mesure de sécurité.

Dans un entretien accordé jeudi à Threatpost, Ezequiel Pereira expliquait qu’il n’avait pas trouver YAQS par hasard, mais bien via une recherche Google. Il avait lancé une recherche sur « site:googleplex.com », inclus les résultats omis et il avait obtenu ainsi un jolie liste d’apps Googleplex, dont YAQS.

Googleplex.com héberge les applications internes de l’App Engine de Google. Le site en lui-même pointe vers un site interne (uberproxy.I.google.com) qui requiert la connexion des employés à l’aide d’un compte professionnel. D’après Pereira, les requêtes sont envoyées à l’App Engine une fois que l’utilisateur est de l’autre côté du proxy.

Une fois à l’intérieur, Ezequiel Pereira a affirmé qu’il avait vu des liens vers « différentes sections relatives aux services et l’infrastructure de Google », mais ce qui lui a vraiment fait comprendre qu’il y avait un problème, ce fut la note « Google Confidential » en bas de page.

Le chercheur, qui a présenté sa découverte dans un billet de blog publié mercredi, a déclaré qu’au lieu d’explorer, il avait décidé de prévenir Google.

Quelques heures après avoir contacté Google, Ezequiel Pereira recevait une réponse de l’équipe de sécurité de la société qui avait retenu le rapport et qui allait confirmer sa validité plus tard au cours du même après-midi.

Google a expliqué au chercheur que le montant de la prime était conditionné par le fait que l’équipe de sécurité de la société avait trouvé quelques versions qui auraient permis à un attaquant d’accéder à des données sensibles. Ezequiel Pereira pense que Google a peut-être trouvé d’autres apps internes accessibles de cette manière.

La prime versée pour la détection de ce bogue était plus élevée que ne l’attendait Pereira.

Ezequiel Pereira écrivait mercredi : « J’ai pensé ‘Cool… c’est probablement une bêtise qui ne vaut rien. Le site contenait probablement des données techniques au sujet des serveurs Google et rien de vraiment important. »

Ce jeune uruguayen qui fréquente un lycée informatique (Universidad del Trabajo del Urugay) a commencé à s’intéresser aux questions de sécurité informatique à l’âge de 13 ans quand il cherchait à tricher dans les jeux électroniques. Une fois que les jeux ont commencé à l’ennuyer, il a maintenu son intérêt pour la sécurité informatique. Ezequiel Pereira a déclaré à Threatpost qu’il possède un compte sur HackerOne, mais qu’il ne l’utilise pas beaucoup. Et s’il est vrai que ce n’est pas la première fois qu’il découvre un bogue sur les sites de Google, aucun n’avait jamais justifié le versement d’une prime aussi généreuse.

« Je m’attendais à recevoir 500 dollars américains (423 euros), je pensais qu’il ne s’agissait que d’une fuite d’un certain type d’informations internes qui ne présentait pas vraiment un danger pour Google » a déclaré le jeune Pereira avant d’ajouter : « Je ne sais pas ce que je vais faire avec cette argent… Je vais peut-être me payer un voyage. J’ai toujours voulu voir New York. Ou je vais apprendre à les investir. »

Source : Threatpost

Posts similaires

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *