Lancé le jeudi 5 octobre, le moteur de recherche dédié aux codes de Google risque de plaire à la fois aux programmeurs et aux hackers.
En effet, on comprend aisément que cet outil qui se veut pédagogique pourrait aussi être un formidable moyen pour les ‘crackers’ de trouver des failles dans les logiciels, trouver des informations sur les mots de passe de l’utilisateur, et même récupérer des codes propriétaires qui se sont retrouvés sur le site par erreur.
Plusieurs spécialistes de la sécurité s’inquiètent de cette éventualité et viennent de lancer une alerte.
Dénommé « Google Code Search », ce moteur a été conçu par les ingénieurs des laboratoires du géant du Web pour que les programmeurs puissent chercher des milliards de lignes de code.
« Le mauvais côté de ce service est que des pirates malintentionnés peuvent utiliser ce moteur pour chercher des vulnérabilités et essayer de trouver qui utilise tel ou tel logiciel buggué » a indiqué Mike Armistead, vice-président de la division code source de l’éditeur Fortify Software.
Les attaquants peuvent aussi chercher des vulnérabilités dans les codes utilisés dans les mécanismes d’identification. Ils peuvent également chercher par des phrases clés comme « ce fichier contient des codes propriétaires « et par cet intermédiaire découvrir de nouvelles failles.
Des ‘hackers’ performants peuvent déjà procéder à ce type de recherche via le nouveau moteur. En réalité, les experts en sécurité considèrent que ce programme est un outil de plus pour les pirates. « Avec ce moteur mener une attaque est encore plus simple » déclare Johnny Long, dans les colonnes de ComputerWorld.
Du côté du mastodonte de la recherche, on ne s’inquiète pas trop de ces révélations. Le groupe rappelle ainsi qu’il « demande aux programmeurs utilisant le moteur d’accepter la charte de bon usage des codes disponibles sur Google Code Search.«
Une mesure insuffisante pour les experts en sécurité. Mais de toute façon, Google n’est pas gêné par cette utilisation de ses outils de recherche.
Déjà au mois de juillet 2006, la société Websense a utilisé une fonction peu connue du moteur pour rechercher des malwares en circulation sur le web.
Lev Toger, programmeur de Beyond Security explique: « L’utilisation de Google Code Search permet de trouver plus facilement des portions de codes intéressantes. Si votre mission est de trouver des bugs dans un programme, ce moteur facilite grandement la tâche. »
Le voile est levé sur Oracle Code Assist. Présenté comme spécialisé en Java et SQL,…
EPEI, la société d'investissement de Daniel Kretinsky, a déposé une offre de reprise d'Atos. En…
Onepoint, l'actionnaire principal d'Atos, a déposé une offre de reprise du groupe. En voici quelques…
Broadcom a repris seul la main sur la vente de l'offre VMware d'AWS... qui, dans…
Microsoft expérimente, sous la marque ZTDNS, une implémentation des principes zero trust pour le trafic…
Accord de principe entre créanciers, propositions de reprise, discussions avec l'État... Le point sur le…