Adam Gowdiak, CEO de la firme de sécurité basée en Pologne, Security Explorations, a récemment publié des failles de sécurité critiques affectant App Engine, le service Platform-as-a-Service (PaaS) de Google. Les failles découvertes dans Google App Engine permettent en effet à des pirates de contourner le sandbox de l’environnement Java de la plateforme, et exécuter du code malveillant dans des zones restreintes des serveurs de Google.
Au nombre de 7, ces vulnérabilités seraient le résultat de mauvaises implémentations et de laxisme de sécurité, indique Gowdiak dans un avis de sécurité. Le CEO de Security Explorations note également que les failles de sécurité avaient été secrètement communiquées à Google, il y a trois semaines. Il aurait également fournit une preuve de concept (POC) pour démontrer l’existence des failles de sécurité afin de favoriser le processus de correction. Et pourtant, la firme basée à Mountain View n’a fait aucun retour pour confirmer ou démentir les vulnérabilités signalées.
« Cela fait trois semaines et nous n’avons entendu aucune confirmation officielle ou un démenti de Google » a dit Gowdiak. « Cela ne devrait pas prendre plus d'un à deux jours pour un fournisseur majeur de logiciels pour exécuter le code de la preuve de concept reçue. » Ajoute-t-il en s’indignant du fait qu’il s’agit de surcroît d’un fournisseur qui prétend avoir une « équipe de sécurité qui a des centaines d'ingénieurs en sécurité de partout dans le monde » et qui attend que les autres fournisseurs de logiciels puissent réagir promptement aux rapports de sécurité de ses propres ingénieurs.
Adam Gowdiak pense d’ailleurs que Google aurait discrètement corrigé une partie des failles de sécurité signalées sans associer Security Explorations. Le but serait d’éviter de payer des primes de bug bounty. Google est en effet sensé récompenser les chercheurs qui découvrent des failles de sécurité affectant certains de ses produits.
Le CEO de Security Explorations rappelle que ce n’est pas la première fois que le géant de l’IT adopte une telle attitude à l’égard de sa firme. Ce serait la troisième fois et le cabinet de sécurité aurait signalé plus de 30 vulnérabilités à Google. L’ensemble des failles rapportées aurait faire perdre à la firme de Mountain View environ 200 000 USD en primes de bug bounty, explique-t-il.
Dans un commentaire en réponse à la publication de Gowdiak sur la liste de diffusion de sécurité Full Disclosure, un porte-parole de Google affirme que le géant de l’IT aurait été informé de l’existence de failles sur sa plateforme cloud. Il précise également que la firme serait en travail avec le chercheur qui a signalé la faille et que les utilisateurs n’auront à entreprendre aucune action.
Sources : Full Discolure mailing list, Rapport de sécurité de Security Explorations
Et vous ?
Qu’en pensez-vous ?
Des failles de sécurité découvertes dans Google App Engine
Permettent aux attaquants d'exécuter des applications Java malveillantes
Des failles de sécurité découvertes dans Google App Engine
Permettent aux attaquants d'exécuter des applications Java malveillantes
Le , par Michael Guilloux
Une erreur dans cette actualité ? Signalez-nous-la !