Failles critiques sur Java dans Google App Engine

Crédit Photo : wk1003mike

Une équipe de chercheurs polonais soutient avoir trouvé plusieurs vulnérabilités non corrigées de l’environnement Java d’App Engine, la plateforme IaaS de Google. Parmi ces failles, on recense trois évitements de sandbox. Avertie, la firme américaine n’a pas donné suite pendant 3 semaines et les experts en sécurité ont alors décidé de rendre public les failles, ainsi qu’un prototype d’attaque (POC). Ce dernier ne casse pas la sandbox, mais contourne une partie d’App Engine pour ouvrir aux attaquants l’accès à l’environnement Java de la plateforme Cloud.

La société Security Explorations, à l’origine de la découverte des failles, a indiqué que les bugs proviennent en grande partie de la mauvaise application de règles de sécurité et de certains manques de contrôle dans App Engine. Le fondateur et DG de la société, Adam Gowdiak, dans la présentation de ces vulnérabilités tacle Google. « Cela ne devrait pas prendre plus de 1 ou 2 jours pour un grand acteur IT d’exécuter le POC, lire les rapports et analyser le code source ». Et d’enfoncer un peu plus le clou en ajoutant : « Surtout quand cet acteur dispose d’une équipe de sécurité comprenant des centaines d’ingénieurs à travers le monde. »

Le dirigeant soupçonne néanmoins Google d’avoir travaillé sur ces brèches de sécurité sans l’en avertir. « Du code du POC envoyé à Google a cessé de fonctionner dans une version de production de App Engine. » Pour le responsable, c’est la troisième fois que la firme de Mountain View mettrait à jour discrètement ses règles de sécurité après des informations données par Security Explorations. Traditionnellement, les sociétés comme Google récompense les chercheurs qui trouvent des failles dans leurs solutions.

Les récents bugs signalés à Google se rapportent à la couche supplémentaire de sécurité mise en place au-dessus de JRE (Java Runtime Environnement) chargée de protéger App Engine contre les vulnérabilités Java.