Infos

Un lycéen reçoit une prime de 10 000 USD de Google après la découverte d’un bogue

Le mois dernier, Google a éliminé un bogue qui aurait pu permettre au premier utilisateur venu d’accéder à un site Internet interne de Google et puis, à des données sensibles.

Vendredi, la société a versé la généreuse prime de 10 000 dollars américains (près de 8 460 euros) au chercheur qui avait identifié ce bogue : il s’agit d’Ezequiel Pereira, un lycéen uruguayen.

C’est l’ennui pur et simple qui a conduit Pereira à cette découverte. Au début du mois dernier, ce lycéen, qui souhaite devenir plus tard chercheur en sécurité, trifouillait dans les services Google à l’aide de Burp Suite afin de modifier l’en-tête Host dans les requêtes envoyées au serveur d’App Engine. Alors que la majorité de ses tentatives débouchait sur la réponse 404, il est tombé sur yaqs.googleplex.com, un site interne qui ne présentait aucun mécanisme d’authentification par nom d’utilisateur/mot de passe, ni aucune autre mesure de sécurité.

Dans un entretien accordé jeudi à Threatpost, Ezequiel Pereira expliquait qu’il n’avait pas trouver YAQS par hasard, mais bien via une recherche Google. Il avait lancé une recherche sur « site:googleplex.com », inclus les résultats omis et il avait obtenu ainsi un jolie liste d’apps Googleplex, dont YAQS.

Googleplex.com héberge les applications internes de l’App Engine de Google. Le site en lui-même pointe vers un site interne (uberproxy.I.google.com) qui requiert la connexion des employés à l’aide d’un compte professionnel. D’après Pereira, les requêtes sont envoyées à l’App Engine une fois que l’utilisateur est de l’autre côté du proxy.

Une fois à l’intérieur, Ezequiel Pereira a affirmé qu’il avait vu des liens vers « différentes sections relatives aux services et l’infrastructure de Google », mais ce qui lui a vraiment fait comprendre qu’il y avait un problème, ce fut la note « Google Confidential » en bas de page.

Le chercheur, qui a présenté sa découverte dans un billet de blog publié mercredi, a déclaré qu’au lieu d’explorer, il avait décidé de prévenir Google.

Quelques heures après avoir contacté Google, Ezequiel Pereira recevait une réponse de l’équipe de sécurité de la société qui avait retenu le rapport et qui allait confirmer sa validité plus tard au cours du même après-midi.

Google a expliqué au chercheur que le montant de la prime était conditionné par le fait que l’équipe de sécurité de la société avait trouvé quelques versions qui auraient permis à un attaquant d’accéder à des données sensibles. Ezequiel Pereira pense que Google a peut-être trouvé d’autres apps internes accessibles de cette manière.

La prime versée pour la détection de ce bogue était plus élevée que ne l’attendait Pereira.

Ezequiel Pereira écrivait mercredi : « J’ai pensé ‘Cool… c’est probablement une bêtise qui ne vaut rien. Le site contenait probablement des données techniques au sujet des serveurs Google et rien de vraiment important. »

Ce jeune uruguayen qui fréquente un lycée informatique (Universidad del Trabajo del Urugay) a commencé à s’intéresser aux questions de sécurité informatique à l’âge de 13 ans quand il cherchait à tricher dans les jeux électroniques. Une fois que les jeux ont commencé à l’ennuyer, il a maintenu son intérêt pour la sécurité informatique. Ezequiel Pereira a déclaré à Threatpost qu’il possède un compte sur HackerOne, mais qu’il ne l’utilise pas beaucoup. Et s’il est vrai que ce n’est pas la première fois qu’il découvre un bogue sur les sites de Google, aucun n’avait jamais justifié le versement d’une prime aussi généreuse.

« Je m’attendais à recevoir 500 dollars américains (423 euros), je pensais qu’il ne s’agissait que d’une fuite d’un certain type d’informations internes qui ne présentait pas vraiment un danger pour Google » a déclaré le jeune Pereira avant d’ajouter : « Je ne sais pas ce que je vais faire avec cette argent… Je vais peut-être me payer un voyage. J’ai toujours voulu voir New York. Ou je vais apprendre à les investir. »

Source : Threatpost

Un lycéen reçoit une prime de 10 000 USD de Google après la découverte d’un bogue

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *

 

Rapports

Etude des menaces mobiles en 2016

En 2016, l’augmentation du nombre de trojans publicitaires qui peuvent utiliser les autorisations root s’est maintenue. Sur l’ensemble de l’année, cette menace n’a jamais quitté la tête du classement et rien n’indique que cette tendance va changer pour l’instant.

Spam en 2016

Les flux de spam ont enregistré plusieurs modifications en 2016. La plus marquante d’entre elles a été l’augmentation de la diffusion de ransomwares. Etant donné la disponibilité de ce genre de malware sur le marché noir, il faut s’attendre à ce que cette tendance se maintienne et le volume de spam malveillant va certainement se maintenir en 2017.

Kaspersky Security Bulletin 2016. Rétrospective de l’année. Statistiques globales de l’année 2016

Les tensions et les remous ont été au rendez-vous dans le cyberespace en 2016, depuis les gigantesques réseaux de zombies de l’Internet des objets jusqu’aux campagnes de cyberespionnage ciblées en passant par le vol d’argent, l’hacktivisme et autres pratiques. La rétrospective et les statistiques présentées par Kaspersky Lab fournissent un compte-rendu détaillé. La synthèse, quant à elle, est accessible ici.

Kaspersky Security Bulletin 2016. La révolution du ransomware

De janvier à septembre 2016, les attaques de ransomwares contre des entreprises ont triplé, avec une attaque toutes les 40 secondes. Vu l’explosion des activités du secteur du ransomware en tant que service et le lancement du project NoMoreRansom, Kaspersky Lab a désigné le ransomware comme problématique clé en 2016.

Abonnez-vous à nos emails hebdomadaires

La recherche la plus excitante dans votre boîte de réception