Un employé d'Apple a trouvé une faille zero-day dans Chrome sans prévenir Google directement

Pierre Dandumont |

Nous en avons déjà parlé, certaines grandes sociétés disposent d'équipes dont le seul travail est de chercher des failles, pour prévenir ensuite les sociétés concernées. Le but est évidemment de ne pas dévoiler les failles publiquement, pour qu'elles soient corrigées rapidement sans avoir été utilisées.

Un employé d'Apple a découvert une faille dans Chromium (et dans Chrome).

Et c'est une drôle d'histoire que nous raconte TechCrunch : un employé d'Apple a découvert une faille zero-day1 dans Chromium (la partie open source de Chrome) lors d'une compétition de hacking en mars dernier, sans la remonter à Google. Elle a été corrigée fin mars parce qu'une personne ayant participé à la compétition en question a prévenu les équipes de Google.

C'est la personne qui a averti Google (et qui n'a donc pas découvert la faille) qui a touché la récompense de 10 000 $ pour la « découverte » de la faille. Toujours selon TechCrunch (qui a pu discuter avec l'employé d'Apple), le déroulement est un peu compliqué. La faille a bien été présentée en mars lors d'une compétition, mais il lui a fallu deux semaines pour l'exploiter et comprendre son fonctionnement. Ensuite, elle a bien été indiquée à Google, mais le 5 juin, plusieurs semaines après la fin de la compétition. Selon lui, il a fallu un peu de temps pour trouver la bonne personne à contacter, et il considère que la faille n'était pas urgente. En effet, elle ne fonctionne pas sous Android et elle est visible avec les autres versions de Chrome car elle fige l'interface pour plusieurs secondes.

Le logo du Project Zero de Google.

Dans tous les cas, rappelons que Google dispose d'une équipe spécialisée dans la recherche de failles, le Project Zero, et que vous verrez parfois dans les notes de sécurité des systèmes d'Apple que certaines failles ont été découvertes par cette équipe.

  1. zero-day indique qu'elle est exploitable sans délai.  ↩︎

Tags
#sécurité #Google #Chromium
avatar fredseg | 

Je n’ai rien compris je crois 😅 pourquoi c’est important ?

avatar powergeek | 

@fredseg

Imagine que tu découvres un grave problème de freinage sur un certain modèle de voiture pouvant potentiellement entraîner de graves accidents et que tu décides de ne pas en informer le constructeur. Et bien c'est pareil 😅

avatar pelipa91 | 

@powergeek

Mort d’Hommes = piratage possible?
Pour moi c’est juste une anecdote rien de plus
De prime abord on peux se dire, le mec qui bosse chez Apple balance pas une faille trouvé dans un produit conçurent (sachant que l’inverse est vrai) et ensuite tu lis le com de l’employé et c’est juste qu’il a voulut pousser l’investigation.
Bref.

avatar powergeek | 

@pelipa91

Oui si tu pirates un hôpital par exemple ou le système de contrôle des pacemaker.

avatar pelipa91 | 

@powergeek

Les hacher évitent de tuer pour éviter d’être trop dérangés.
Il verrouillent plutôt les machines.
Enfin j’ai pas d’histoire à l’esprit à ce propos (mais je me trompe p-e).

avatar powergeek | 

@pelipa91

C'est vrai mais bloquer une salle d'opération peut avoir des conséquences dramatiques. C'est un effet de bord. Mon exemple servait juste à illustrer ce que l'autre personne ne comprenait pas 😉

avatar pelipa91 | 

@powergeek

Je suis bien d’accord. Mais je n’ai pas à ma connaissance de cas connus.
Mais en effet, je n’aimerai pas être la personne en salle d’opération au moment où ça arriverai

avatar debione | 

@pelipa91:
" (sachant que l’inverse est vrai)"
L'inverse n'est justement pas vrai... Google est une des boîtes qui fournit le plus de failles à ses concurrents, et à Apple en premier (qui a bien du mal dans ce domaine)

avatar pelipa91 | 

@debione

C’est bien ce que j’ai écris en effet

avatar fte | 

@pelipa91

"De prime abord on peux se dire, le mec qui bosse chez Apple balance pas une faille trouvé dans un produit conçurent"

Chrome et Safari ne sont pas en concurrence.

avatar pelipa91 | 

@fte

Ah bon? D’accord, si vous le dites.
Je savais pas que Google et Apple n’était pas concurrents.
Airbus n’est pas concurrent à Boeing ou Comac dans ce cas.
C’est le monde des humains après tout. On est tous issus de la même origine 😝

avatar fte | 

@pelipa91

"Ah bon? D’accord, si vous le dites.
Je savais pas que Google et Apple n’était pas concurrents."

Je n’ai pas parlé d’Apple et Google, on pourrait…, mais de Safari et Chrome. Et non, Safari et Chrome ne sont pas concurrents. 5 minutes sur macOS et encore, ça se discute, mais nulle part ailleurs.

avatar pelipa91 | 

@fte

Ah donc Dacia n’est pas un conçurent de Maybach.
Ok je comprends votre point de vue.
Je le partage pour Safari que j’ai fini par abandonner.

Mais d’un point de vue Apple, avec Safari, tous les autres navigateurs web sont des concurrents.

Juste en effet que Google avec son Chrome ne voie pas dans son rétro le petit Safari.

avatar hptroll | 

@fte

“Et non, Safari et Chrome ne sont pas concurrents. 5 minutes sur macOS et encore, ça se discute, mais nulle part ailleurs.”

Le fait qu’ils ne soient en pratique pas disponibles sur les mêmes plateformes (les plateformes majeures étant les plateformes mobiles) ne veut pas dire qu’ils ne sont pas concurrents.

avatar fte | 

@hptroll

"Le fait qu’ils ne soient en pratique pas disponibles sur les mêmes plateformes ne veut pas dire qu’ils ne sont pas concurrents."

Concept extrêmement intéressant. 🤯

avatar Sanid35 | 

Si il avait réussi à la déclarer avant c’est lui qui gagnait le bounty ou Apple vu que c’est dans le cadre de son travail ?

avatar fte | 

@Sanid35

"Si il avait réussi à la déclarer avant c’est lui qui gagnait le bounty ou Apple vu que c’est dans le cadre de son travail ?"

La pratique usuelle est que le chercheur touche la prime. Mais ceci est vrai lorsqu’il y a un semblant de culture sécurité dans l’entreprise…

Parlant d’Apple, je ne serais pas surpris que la prime soit captée par Apple.

Après, soyons absolument clair, je n’en sais rien. Je n’en pense rien. J’aimerais savoir la réponse à la question.

avatar debione | 

Apple et les failles...
Ils pourraient en faire une série sur l'AppleTv pour au moins 10 saisons....

avatar DahuLArthropode | 

@debione

Debione et ses marottes...

https://www.phonandroid.com/windows-android-linux-macos-top-10-des-systemes-les-plus-vulnerables.html/amp

avatar debione | 

@DahuLArthropode | :

Extension et généralisation du propos (à quelque chose absent de la conversation).
Stratagème numéro 1 dans "L'art d'avoir toujours raison" de Shoppenhauer.

On parle d'Apple et des failles, et on ramène sa science avec des propos sur d'autres entreprises....

Donc soit tu as quelque chose à dire sur le sujet précis, soit tu n'as rien à dire et ... Ben répond pas la prochaine fois si c'est pour être pareillement hors sujet.
Mais pour le coup, vous devriez parler des failles parfaitement connues qu'Apple met par moment plusieurs année à boucher... Au prix ou on paye....

avatar DahuLArthropode | 

@debione

Vous suggérez qu’Apple serait particulièrement vulnérable, je vous envoie un comparatif où il figure à coté d’autres OS. Ça ne me semble pas hors sujet.
Nous pourrons donc faire une série Apple TV sur les failles en général. Peut-être est-ce Schopenhauer qui est hors sujet.

avatar fte | 

@DahuLArthropode

"Peut-être est-ce Schopenhauer qui est hors sujet."

Sur les forums internet il est beaucoup plus souvent pile dans le sujet que hors sujet, notre bon Schopenhauer. De toute manière il a toujours raison.

avatar corben64 | 

@debione

La faille était sur Chrome.

avatar marc_os | 

Un employé d'Apple a trouvé une faille zero-day dans Chrome sans prévenir Google directement

Encore un titre trompeur comme on peut le comprendre après avoir lu l'article :

« La faille a bien été présentée en mars lors d'une compétition, mais il lui a fallu deux semaines pour l'exploiter et comprendre son fonctionnement »

Donc il y a un petit malin qui en a profité pour encaisser la prime de Google à la place du véritable découvreur.
Mais c'est l'employé d'Apple qu'on blâme. Normal.

avatar debione | 

@marc_os:

Non, le blâme c'est pour découvrir des failles et ne pas les signaler VOLONTAIREMENT...

Regarde le boulot que fait Google en matière de sécurité, et comment ils gèrent ces faillent qu'ils trouvent sur du matériels concurrent....

avatar marc_os | 

@ debione

> Non, le blâme c'est pour découvrir des failles et ne pas les signaler VOLONTAIREMENT.

Elle veut dire quoi alors cette phrase de l'article ?

« selon TechCrunch (qui a pu discuter avec l'employé d'Apple), le déroulement est un peu compliqué. La faille a bien été présentée en mars lors d'une compétition »

avatar debione | 

@marc_os:

Il y a une différence entre présenter une faille dans une compétition, et décrire le process précisément le plus vite possible à l'entreprise concernée....
Bref, agir exactement comme Google agit quand ils découvrent des failles chez Apple.

avatar fte | 

Un exemple de plus du niveau abysmal de la culture sécurité chez Apple. 🤷

avatar DahuLArthropode | 

@fte

?
L’événement au cours duquel la faille a été découverte (HXP CTF 2022) ne me semble pas organisé par Apple et l’employé y participait à titre privé, non? Apple n’a dans ce cas rien à voir dedans.

avatar debione | 

@DahuLArthropode:

Oh que si...
Un réflexe qu'il ne possède pas en bossant chez Apple....

avatar fte | 

@DahuLArthropode

"Apple n’a dans ce cas rien à voir dedans."

Tu voudrais me faire croire que l’environnement dans lequel untel travaille au moins 40 heures par semaine n’influence pas les bonnes pratiques professionnelles d’untel hors dudit environnement professionnel ?! Naaa, je ne pense pas que tu veuilles me faire croire ces balivernes.

avatar DahuLArthropode | 

@fte

Je n’en sais rien. Juste: ça ne semble pas une décision d’Apple de ne pas informer Google.

avatar fte | 

@DahuLArthropode

Ca ressemble au contraire absolument à Apple de ne pas adopter les bonnes pratiques de cette industrie.

avatar ⚜Dan | 

@fte

N’importe quoi

avatar fte | 

@⚜Dan

"N’importe quoi"

C’est juste, et c’est regrettable.

Les bonnes pratiques sont des bonnes pratiques non pas parce qu’elles sont les meilleures pratiques, mais parce qu’elles permettent de mieux collaborer et de mieux résoudre les incidents. Donc oui, qu’Apple soit aussi cul serré sur tout ce qui implique une collaboration est vraiment n’importe quoi. Une grosse bande de clowns. Ce n’est ni bon pour la sécurité des solutions Apple, ni pour la sécurité des systèmes informatiques en général, ni pour l’intéressante et fructueuse collaboration qui existe dans ce petit monde des chercheurs en sécurité.

avatar nidecker | 

Zero-day ne signifie pas vulnérabilité utilisable sans délai mais qu’il n’existe pas de patch pour la corriger

avatar debione | 

@nidecker:

Ah ok, j'avais toujours pensé "faille non documentée"...

avatar Yves SG | 

Quel titre Putaclic 😡 !

avatar codeX | 

Ca permets aux petits coqs de se tirer la bourre 🙄

avatar cecile_aelita | 

@codeX

🤭! Y’a de ça en effet 😉!
Mais moi quand je le dis je me fais insulter lol ^^, alors je vais arrêter 😉

avatar pacolapo | 

" Un employé d'Apple a trouvé une faille zero-day dans Chrome sans prévenir Google directement "

" Ensuite, elle a bien été indiquée à Google , mais le 5 juin, plusieurs semaines après la fin de la compétition. Selon lui, il a fallu un peu de temps pour trouver la bonne personne à contacter "

Visiblement, ca ne vous est jamais arrivé de dénoncer/ indiquer un problème à quelqu'un ou à une société et de ne pas avoir de réponse...

Pierre qui tape encore sur Apple... #Classic

CONNEXION UTILISATEUR