Crédit Photo : wk1003mike
Une équipe de chercheurs polonais soutient avoir trouvé plusieurs vulnérabilités non corrigées de l’environnement Java d’App Engine, la plateforme IaaS de Google. Parmi ces failles, on recense trois évitements de sandbox. Avertie, la firme américaine n’a pas donné suite pendant 3 semaines et les experts en sécurité ont alors décidé de rendre public les failles, ainsi qu’un prototype d’attaque (POC). Ce dernier ne casse pas la sandbox, mais contourne une partie d’App Engine pour ouvrir aux attaquants l’accès à l’environnement Java de la plateforme Cloud.
La société Security Explorations, à l’origine de la découverte des failles, a indiqué que les bugs proviennent en grande partie de la mauvaise application de règles de sécurité et de certains manques de contrôle dans App Engine. Le fondateur et DG de la société, Adam Gowdiak, dans la présentation de ces vulnérabilités tacle Google. « Cela ne devrait pas prendre plus de 1 ou 2 jours pour un grand acteur IT d’exécuter le POC, lire les rapports et analyser le code source ». Et d’enfoncer un peu plus le clou en ajoutant : « Surtout quand cet acteur dispose d’une équipe de sécurité comprenant des centaines d’ingénieurs à travers le monde. »
Le dirigeant soupçonne néanmoins Google d’avoir travaillé sur ces brèches de sécurité sans l’en avertir. « Du code du POC envoyé à Google a cessé de fonctionner dans une version de production de App Engine. » Pour le responsable, c’est la troisième fois que la firme de Mountain View mettrait à jour discrètement ses règles de sécurité après des informations données par Security Explorations. Traditionnellement, les sociétés comme Google récompense les chercheurs qui trouvent des failles dans leurs solutions.
Les récents bugs signalés à Google se rapportent à la couche supplémentaire de sécurité mise en place au-dessus de JRE (Java Runtime Environnement) chargée de protéger App Engine contre les vulnérabilités Java.
A lire aussi :
Google Cloud lance son propre scanner de sécurité d’applications web
Les DSI dépensent plus dans la sécurité, le Big Data et le Cloud
Pour développer une version 7B de son modèle Codestral, Mistral AI n'a pas utilisé de…
L’Autorité de la concurrence et des marchés (CMA) britannique ouvre une enquête sur les conditions…
Thomas Gourand est nommé Directeur Général pour la France. Il est chargé du développement de…
Pour dissuader le CISPE d'un accord avec Microsoft, Google aurait mis près de 500 M€…
Pour réduire la taille des mises à jour de Windows, Microsoft va mettre en place…
De l'organisation administrative à la construction budgétaire, la Cour des comptes pointe le fonctionnement complexe…