Vos recrutements informatiques

700 000 développeurs, chefs de projets, ingénieurs, informaticiens...

Contactez notre équipe spécialiste en recrutement

Des chercheurs réussissent une attaque XXE sur un serveur de production de Google
Et sont gratifiés de la coquette somme de 10 000 $

Le , par Cedric Chevalier, Expert éminent sénior
Il n’existe pas de sécurité parfaite, et aucun système n’est invincible. Un groupe de chercheurs du cabinet de sécurité detectify, en réalisant leur challenge quotidien, viennent de se retrouver gratifié par Google d’un chèque de 10 000 dollars. À l’origine de cet événement, ils ont réussi une attaque XXE (XML External Entity) sur l’un des serveurs de production de Google.

L’attaque consiste à envoyer à un analyseur syntaxique XML, un fichier malicieux qu’il n’est pas capable d’interpréter correctement. Parmi les conséquences de l’attaque XXE, on peut citer entre autres : l’accès aux fichiers locaux, le Déni de service, ou encore l’exécution à distance de code arbitraire.

Concrètement, les chercheurs ont envoyé aux serveurs de la firme de Mountain View un fichier XML malicieux pour personnaliser les boutons du « Google Toolbar Button galery ». Le résultat fut phénoménal. Ils ont réussi à l’aide de leur fichier malicieux à avoir l’accès aux fichiers passwd et hosts du dossier /etc, d’un des serveurs internes de production de Google.

Par la suite, ils ont contacté l’équipe compétente de Google pour lui faire part de la découverte de la vulnérabilité XXE. Pour récompenser leurs efforts, ils se sont vus gratifiés de cette belle somme.

Source : blog Detectify

Et vous ?

Qu'en pensez-vous ?


Vous avez aimé cette actualité ? Alors partagez-la avec vos amis en cliquant sur les boutons ci-dessous :


 Poster une réponse

Avatar de LSMetag LSMetag - Membre expert http://www.developpez.com
le 15/04/2014 à 21:28
Y a pas à dire j'aime cette politique chez Google.
Ils ont tout compris. Les sommes données sont dérisoires par rapport aux conséquences possibles.
Avatar de tomlev tomlev - Rédacteur/Modérateur http://www.developpez.com
le 15/04/2014 à 21:34
Heureusement que Google a une attitude constructive dans ce genre d'histoires... Certaines entreprises se seraient empressées d'attaquer en justice les découvreurs de la faille au lieu de les remercier.
Avatar de pcaboche pcaboche - Rédacteur http://www.developpez.com
le 16/04/2014 à 7:23
Citation Envoyé par tomlev  Voir le message
Heureusement que Google a une attitude constructive dans ce genre d'histoires... Certaines entreprises se seraient empressées d'attaquer en justice les découvreurs de la faille au lieu de les remercier.

Ou de carrément leur envoyer le FBI :

http://www.developpez.com/actu/70019/Pourquoi-les-hackers-ethiques-sont-ils-mal-percus-par-les-entreprises-L-un-d-eux-fait-les-frais-du-FBI/
Avatar de supergeoffrey supergeoffrey - Membre éprouvé http://www.developpez.com
le 16/04/2014 à 9:35
Ils étaient combien ?
Car
10000$ pour Google c'est rien
et
10000$ / 2 c'est très sympa
10000$ / 3 c'est sympa
10000$ / 4 c'est encore sympa
10000$ / 5 c'est plutôt correcte
10000$ / + 6 c'est plus une récompense c'est juste une prime de salaire

donc 10000$ chacun ça aurait était mieux.
Avatar de dk dk - Membre habitué http://www.developpez.com
le 16/04/2014 à 9:42
Juste 10K$ faut être passionné... parce que comme dit plus haut c'est vraiment une somme dérisoire comparé aux conséquences d'une telle attaque. Et encore, dérisoire, c'est un énorme euphémisme.
Avatar de Xinu2010 Xinu2010 - Membre averti http://www.developpez.com
le 16/04/2014 à 10:15
Au delà de la récompense, vu que l'affaire a été largement médiatisé, ça fait une excellente pub pour ce cabinet de sécurité.
Avatar de Zirak Zirak - Expert éminent http://www.developpez.com
le 16/04/2014 à 10:58
Même 10 000$ / 20 c'est toujours plus intérressant comme "prime", que de se faire attaquer en justice ou envoyer le FBI...

Certes pour Google c'est une somme insignifiante, mais comme l'on dit certains, c'est déjà bien que Google agisse dans ce sens et récompense (même légèrement) ce genre de découverte qui aurait pu leur faire perdre plus, plutôt que de réagir comme certaines autres firmes qui, non-content d'avoir une faille découverte gratuitement à corriger pour éviter des pertes, se regavent une deuxième fois en justice...
Avatar de Patator21 Patator21 - Membre à l'essai http://www.developpez.com
le 16/04/2014 à 11:04
C'est du gagnant/gagnant.

C'est la meilleur politique qui puisse exister. Récompenser les honnêtes gens pour couper l'herbe sous le pied des escrocs.
Avatar de mapmip mapmip - Membre actif http://www.developpez.com
le 16/04/2014 à 13:55
comment ont ils fait ca ? comment s'en prémunir ?
Avatar de benjani13 benjani13 - Membre expérimenté http://www.developpez.com
le 16/04/2014 à 15:28
Citation Envoyé par mapmip  Voir le message
comment ont ils fait ca ? comment s'en prémunir ?

Le mode opératoire est expliqué sur le blog des auteurs de l'attaque (lien à la fin de la news).

The root cause of XXE vulnerabilities are naive XML parsers that blindly interpret the DTD of the user supplied XML documents.

La vulnérabilité vient du fait que le parser XML de l'outil interprète bêtement toute la DTD du fichier XML. La DTD détermine la syntaxe de ton fichier XML, et permet d'autres règles, dont les chercheurs ont abusé.

Documentation: OWASP

Un exemple que tu peux voir sur ce lien:
Code : Sélectionner tout
1
2
3
4
<?xml version="1.0" encoding="ISO-8859-1"?> 
 <!DOCTYPE foo [   
   <!ELEMENT foo ANY > 
   <!ENTITY xxe SYSTEM "file:///etc/passwd" >]><foo>&xxe;</foo>
Pour s'en prémunir il faut faire attention à ce que la DTD ne soit pas interprétée quand ton application lis un fichier XML. Dans le lien précédent (wiki d'OWASP), tu peux voir la liste des bibliothèques XML couramment utilisées dans les différents langages, si par défaut elles lisent la DTD ou non, et leurs différentes options pour que ce ne soit pas le cas.
Offres d'emploi IT
Analyste SI-métier (H/F)
Société Générale - Ile de France - Val-de-Marne
Chargé(e) de mission au CERT Société Générale (H/F)
Société Générale - Ile de France - Val-de-Marne
Data scientist inspection générale (H/F)
Société Générale - Ile de France - Hauts-de-Seine

Voir plus d'offres Voir la carte des offres IT
Contacter le responsable de la rubrique Accueil