Google Issue Tracker

Google Issue Tracker : Un bug dans le traceur de bug

Google est muni d’un outil interne qui détecte et liste les bugs et tout type de faille non corrigées sur ses différents outils : Google Issue Tracker. Mais un chercheur en sécurité a découvert qu’il y avait une vulnérabilité pouvant permettre à des hackers d’avoir accès à n’importe quoi le rapport de ce dernier. À travers quelques manipulations, il était possible d’afficher toutes les fonctionnalités demandées par Google et les bugs non corrigés. C’est un chemin facile pour les pirates informatiques pour exploiter des informations. L’entreprise californienne a depuis corrigé cette vulnérabilité, mais une erreur pareille aurait dû être évitée.

Google Issue Tracker : Mise à jour de la faille

Alex Birsan, un chercheur en sécurité, a mis à jour la présence de ce bug. En principe, quand une personne rencontre des problèmes avec un des outils de Google, elle peut consulter Google Issue Tracker. Cela lui permet de savoir le type de bug constaté. Mais il faut savoir que l’ensemble des bugs n’est visible que par les techniciens de Google, parfois même une poignée de personne. La faille en question permettait à des tiers de pouvoir accéder à ces bugs et éventuellement de pouvoir les exploiter.

Google Issue Tracker

Dans la pratique, Alex Birsan explique la manière d’agir. D’abord, il fallait obtenir un compte « Google Employee ». Quand Google Issue Tracker découvre le bug, il dresse immédiatement un rapport. À cela, il est possible de participer à des discussions privées. Il suffit d’envoyer des e-mails à une adresse spéciale comme ceci : « buganizer-system+ComponentID+issueID@google.com ». Le ComponentID est un nombre représentant une catégorie, et issueID est un identificateur unique pour le thread auquel le chercheur répond.

L’homme signale aussi qu’il existe un autre moyen permettant d’accéder aux rapports de bug enregistrés par Google Issue Tracker. Le principe consiste à recevoir des notifications sur les billets internes. Quand vous êtes considéré comme étant un technicien en charge de gérer les problèmes de failles enregistrés par l’outil d’identification de bugs, vous recevrez toutes les notifications concernant tous les rapports de bugs enregistrés. Il est alors possible de voir quel type de problème a été enregistré sur les outils de Google et de constater s’ils sont exploitables ou pas.

Les risques de l’exploitation du bug

À travers cette faille qui a été constatée par Alex Birsan, il est possible d’accéder à tous les rapports de vulnérabilité émanant de Google Issue Tracker et qui sont envoyés à Google. Ces rapports peuvent éventuellement être transformés en attaque à condition que le hacker découvre un bug exploitable.

Google Issue Tracker

Mais heureusement, il est pratiquement impossible de dénicher un rapport de bug présentant des failles exploitables. Cela a d’ailleurs été vérifié par Alex Birsan. Ce dernier, au moment de faire ses tests, a pu découvrir qu’il est très rare de découvrir des vulnérabilités sur les rapports qui peuvent être transformés en attaque. Toutefois, les informaticiens de Google ne laissent rien au hasard. Ils ont immédiatement corrigé le programme Google Issue Tracker. Ainsi, vu l’ampleur de la situation, la faille sur ce dernier a été directement corrigée une heure après sa découverte.

Post Author: Miza

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *