Un employé Apple découvre une faille de sécurité dans Google Chrome et ne dit rien
- Julien Russo
- Il y a 1 an
- 💬 1 com
- 🔈 Écouter
Dans le passé, beaucoup de failles dans iOS, iPadOS ou même macOS ont été résolus grâce à la participation active d'employés de Google et d'autres entreprises concurrentes. Les salariés ne cherchent pas les failles pendant leur journée de travail, mais durant leur temps libre, bien sûr, il y a un intérêt financier puisque Apple les récompenses derrière. Cette entraide entre constructeurs a toujours existé, mais cette fois-ci cela n'a été que dans un sens...
Ce salarié Apple a trouvé une faille dans Chrome et ne l'a pas signalé
Google Chrome est le navigateur internet le plus populaire dans le monde, mais cela ne l'empêche pas d'avoir parfois des points faibles, comme des failles de sécurité qui peuvent impacter la sécurité et la confidentialité des utilisateurs. Dans un récent rapport de TechCrunch, on apprend qu'un salarié Apple spécialisé dans la recherche de faille de sécurité a trouvé un exploit zero-day dans Google Chrome lors d'un concours de piratage connu sous le nom de "Capture The Flag".
Dans la logique, que ce soit la concurrence ou non, cette personne est censée le signaler. Malheureusement, celui-ci n'a rien fait, c'est en tout cas ce que confirme un employé Google qui a eu connaissance de l'histoire. Pour apporter une explication à son silence, le salarié Apple a estimé que la faille qu'il a découverte n'avait pas de "réelle urgence" et que globalement, il y avait peu de chances qu'un utilisateur l'exploite.
Finalement, la faille a été signalée à Google le 5 juin 2023, ce qui a permis sa résolution par les équipes de développeurs de Chrome. L'employé Google qui a démasqué l'absence d'honnêteté de l'employé Apple a dit regretter que ce dernier n'ait pas pris la peine de signaler l'exploit zero-day, même s'il ne travaillait pas dans l'entreprise.
Les failles zero-day peuvent être exploitées par des acteurs malveillants pour pénétrer les systèmes et accéder à des informations sensibles, interrompre les services, ou effectuer d'autres actions nuisibles. Les failles zero-day sont particulièrement dangereuses, car elles sont souvent exploitées avant que les parties responsables n'aient eu la possibilité de développer et de déployer un correctif.
Le terme zero-day fait référence au fait que les développeurs ont "zéro jour" pour corriger la faille après qu'elle a été découverte, autrement dit, elle doit être bouchée le plus rapidement possible afin qu'elle ne soit pas exploitée par des tiers.