Faille zero-day dans Chrome : le mauvais timing d'un employé d'Apple
Par June Cantillon - Publié le
Une faille zero-day découverte par un employé d'Apple
Un employé de Cupertino, répondant au surnom de Galileo, membre de la Apple Security Engineering and Architecture (SEAR) ayant participé en mars à un compétition Capture the Flag (CTF), consistant à découvrir des failles au sein de certains systèmes et logiciels, aurait tardé à remonter sa découverte d'une faille zero-day (une faille dont Google n'avait pas connaissance au moment des faits) au sein de Chrome.
Une prime qui va à un autre
Selon nos confrères de TechCrunch, la faille aurait alors été pointée du doigt par, Sisu, une autre personne participant à l'événement, qui n'était même pas dans l'équipe qui a découvert cette fameuse faille. Le plus étrange, c'est cette personne qui aurait reçu la prime de 10 000 dollar accordée par Google. Selon Galileo :
Il m'a fallu 2 semaines pour travailler dessus à plein temps pour en trouver la cause et rédiger le problème de manière à ce qu'il puisse être résolu.
Cela a été signalé le 5 juin, par l'intermédiaire de ma société. Oui, c'était un peu tard, il y a plusieurs raisons à cela. Je devais d'abord trouver la personne responsable, le rapport devait être signé par des personnes, puis la personne responsable n'était pas disponible. Il est louable que Chrome ait décidé de le réparer dès que possible, mais je pense qu'il n'y avait pas vraiment d'urgence. Peu de personne étaient au courant de cette faille et le problème n'est probablement pas si grave dans un scénario réel (ne fonctionne pas sur Android, assez visible car il gèle l'interface graphique de Chrome pendant quelques secondes),