Google : un lycéen pirate les serveurs et gagne 10 000 dollars
Un lycéen uruguayen du nom de Ezequiel Pereira est parvenu à trouver une faille lui permettant de pirater les serveurs de Google. En récompense, la firme de Mountain View lui a offert la somme de 10 000 dollars.
Google se démène pour renforcer la sécurité de ses différents OS, mais le risque zéro n'existe pas. En novembre dernier, plus de 300 000 smartphones Android avaient été piratés à cause d'une faille Chrome. Par conséquent, la firme incite les utilisateurs à trouver des failles et à les signaler en échange d'argent.
C'est en explorant les services de Google que le jeune Ezequiel Pereira a découvert une faille majeure. Le lycéen s'est aperçu qu'en utilisant Burp Suite, un scanner de vulnérabilités très populaire, il était possible de modifier le « host header » et ainsi d'accéder aux applications internes de l'App Engine de Google.
Le chercheur de sécurité en herbe a alors pris conscience que les paramètres de sécurité n'étaient pas correctement configurés, contrairement à ceux des autres serveurs Google qu'il avait déjà tenté de pirater. En effectuant cette manipulation, Pereira a pu se connecter au site web yaqs.googleplex.com sans même entrer ses identifiants.
Une fois connecté, la page principale l'a aussitôt redirigé vers une page contenant différents liens vers les services et infrastructures Google, mais aussi et surtout une inscription « Google Confidential ». Plutôt que de poursuivre son exploration, le jeune homme a préféré signaler immédiatement cette faille à Google.
Google aurait pu perdre des millions de dollars à cause de cette faille
Google lui a directement répondu pour le prévenir que l'équipe de sécurité de la firme le contacterait dès que la faille aurait été confirmée. Quelques jours plus tard, le lycéen uruguayen a reçu la somme de 10 000 dollars en guise de remerciement.
Google a préféré éviter de communiquer les détails sur les informations que contenait ce site web. En revanche, les équipes de sécurité ont confirmé qu'une variante de cette faille aurait pu permettre d'accéder à des données confidentielles, dont la fuite aurait pu coûter à Google plusieurs millions de dollars.
Si vous souhaitez à votre tour vous lancer dans la recherche de failles Google, n'hésitez pas à consulter le Vulnerability Report Program de la firme de Mountain View. La recherche de bugs et autres vulnérabilités peut s'avérer très rentable. En février 2016, une personne a reçu 25 000 dollars en trouvant une faille sur Chrome.
Au total, en 2016, Google a payé plus de 550 000 dollars aux personnes qui ont trouvé des failles. Cette somme peut paraître colossale, mais elle est finalement une simple bagatelle en comparaison de ce que les vulnérabilités pourraient coûter à l'entreprise.
