Une équipe de chercheurs polonais soutient avoir trouvé plusieurs vulnérabilités non corrigées de l’environnement Java d’App Engine, la plateforme IaaS de Google. Parmi ces failles, on recense trois évitements de sandbox. Avertie, la firme américaine n’a pas donné suite pendant 3 semaines et les experts en sécurité ont alors décidé de rendre public les failles, ainsi qu’un prototype d’attaque (POC). Ce dernier ne casse pas la sandbox, mais contourne une partie d’App Engine pour ouvrir aux attaquants l’accès à l’environnement Java de la plateforme Cloud.
La société Security Explorations, à l’origine de la découverte des failles, a indiqué que les bugs proviennent en grande partie de la mauvaise application de règles de sécurité et de certains manques de contrôle dans App Engine. Le fondateur et DG de la société, Adam Gowdiak, dans la présentation de ces vulnérabilités tacle Google. « Cela ne devrait pas prendre plus de 1 ou 2 jours pour un grand acteur IT d’exécuter le POC, lire les rapports et analyser le code source ». Et d’enfoncer un peu plus le clou en ajoutant : « Surtout quand cet acteur dispose d’une équipe de sécurité comprenant des centaines d’ingénieurs à travers le monde. »
Le dirigeant soupçonne néanmoins Google d’avoir travaillé sur ces brèches de sécurité sans l’en avertir. « Du code du POC envoyé à Google a cessé de fonctionner dans une version de production de App Engine. » Pour le responsable, c’est la troisième fois que la firme de Mountain View mettrait à jour discrètement ses règles de sécurité après des informations données par Security Explorations. Traditionnellement, les sociétés comme Google récompense les chercheurs qui trouvent des failles dans leurs solutions.
Les récents bugs signalés à Google se rapportent à la couche supplémentaire de sécurité mise en place au-dessus de JRE (Java Runtime Environnement) chargée de protéger App Engine contre les vulnérabilités Java.
A lire aussi :
Google Cloud lance son propre scanner de sécurité d’applications web
Les DSI dépensent plus dans la sécurité, le Big Data et le Cloud
La société britannique de cybersécurité Darktrace a accepté une offre de rachat de 5,32 milliards…
Silicon et KPMG lancent la deuxième édition de l'étude Trends of IT. Cette édition 2024…
Le ministère de l'économie a adressé une lettre d'intention à la direction d'Atos pour racheter…
Directeur Technologie de SNCF Connect & Tech, Arnaud Monier lance une campagne de recrutement pour…
Les grands de l'IT suppriment des milliers de jobs au nom du déploiement de. Une…
Quatre ans après l’appel de Rome - un pacte présenté en 2020 par le Vatican…