Nous en avons déjà parlé, certaines grandes sociétés disposent d'équipes dont le seul travail est de chercher des failles, pour prévenir ensuite les sociétés concernées. Le but est évidemment de ne pas dévoiler les failles publiquement, pour qu'elles soient corrigées rapidement sans avoir été utilisées.
Et c'est une drôle d'histoire que nous raconte TechCrunch : un employé d'Apple a découvert une faille zero-day1 dans Chromium (la partie open source de Chrome) lors d'une compétition de hacking en mars dernier, sans la remonter à Google. Elle a été corrigée fin mars parce qu'une personne ayant participé à la compétition en question a prévenu les équipes de Google.
C'est la personne qui a averti Google (et qui n'a donc pas découvert la faille) qui a touché la récompense de 10 000 $ pour la « découverte » de la faille. Toujours selon TechCrunch (qui a pu discuter avec l'employé d'Apple), le déroulement est un peu compliqué. La faille a bien été présentée en mars lors d'une compétition, mais il lui a fallu deux semaines pour l'exploiter et comprendre son fonctionnement. Ensuite, elle a bien été indiquée à Google, mais le 5 juin, plusieurs semaines après la fin de la compétition. Selon lui, il a fallu un peu de temps pour trouver la bonne personne à contacter, et il considère que la faille n'était pas urgente. En effet, elle ne fonctionne pas sous Android et elle est visible avec les autres versions de Chrome car elle fige l'interface pour plusieurs secondes.
Dans tous les cas, rappelons que Google dispose d'une équipe spécialisée dans la recherche de failles, le Project Zero, et que vous verrez parfois dans les notes de sécurité des systèmes d'Apple que certaines failles ont été découvertes par cette équipe.
-
zero-day indique qu'elle est exploitable sans délai. ↩︎
