Il trouve une faille sur Google Maps et récolte deux primes

Il trouve une faille sur Google Maps et récolte deux primes

5 000 dollars gagnés en dix minutes à peine.

Voici une réjouissante nouvelle pour les chasseurs de failles informatiques : quand Google se trompe deux fois, Google paie double.

À voir aussi sur Konbini

Recontextualisons : aux États-Unis, comme en Europe et ailleurs dans le monde, de nombreuses entreprises offrent des récompenses financières aux hackers bien intentionnés, les white hats, qui trouveraient des bugs sur leur plateforme. Ces chasseurs de primes 2.0 se font appeler bug bounty hunters et nous en avions rencontré un l’année dernière. Il nous racontait son métier :

En temps normal, lorsqu’un hunter trouve la faille, l’entreprise plâtre, paie et : “Merci, au revoir, à bientôt on l’espère”. Ce n’est pas ce qu’il s’est passé pour Zohar Shachar, un chercheur israélien en sécurité informatique, qui nous raconte sa petite aventure dans une note de blog, repérée d’abord par le média ZDNet.

L’histoire a lieu il y a plus d’un an. Zohar est dans sa chambre d’hôtel dans un pays étranger et s’ennuie – c’est lui qui le dit –, lorsqu’il reçoit un mail de la part de Google : la faille qu’il avait signalée sur Google Maps était bel et bien une faille, colmatée depuis lors : “Vous recevrez donc un virement de 5 000 dollars sur votre compte en vertu de vos bons services.”

Sans entrer dans les détails, la faille en question était un petit bout de code vulnérable dans des Maps personnalisées (que tout le monde peut faire ici) exportées au format KML par les utilisateurs. Avec une manip très simple, des hackers mal intentionnés pouvaient introduire un bout de code malveillant au sein de ce KML permettant, en gros, de faire faire des choses pas du tout prévues à cette carte : dérober quelques informations ou s’adonner au phishing.

Par acquit de conscience, toujours dans son hôtel, Zohar va vérifier que les équipes de Google ont bien fait le boulot. Il tombe de sa chaise (là, on dramatise un peu) : ils ont mal bossé. En ajoutant à peine quelques caractères par-dessus le pansement, il est encore possible d’exploiter la faille dans le KML.

Le chercheur se fend d’une réponse par mail pour le signaler. À peine quelques jours plus tard, Google fait un second virement de 5 000 dollars. Pas mal, quand on sait que trouver cette seconde faille et la signaler à Google n’auront pris à Zohar… que dix minutes.

Moralité :

  • si vous êtes un chasseur de primes, ça ne coûte presque rien d’aller vérifier que le travail a été bien fait ;
  • Google est grand seigneur avec ses chasseurs de primes.

Une info à nous partager sur les bug hunters ? Écrivez-nous à hellokonbinitechno@konbini.com.