Un récent incident a mis en évidence une situation inhabituelle dans le domaine de la sécurité informatique. Un employé d’Apple, surnommé Galileo, membre de l’équipe de sécurité Apple Security Engineering and Architecture (SEAR), aurait découvert une faille zero-day au sein du navigateur Chrome lors d’une compétition de hacking en mars dernier. Cependant, malgré sa découverte, Galileo aurait tardé à signaler la faille, laissant ainsi le temps à un autre participant, Sisu, de la mettre en évidence et de décrocher la prime de 10 000 dollars offerte par Google.
Le scénario est pour le moins étonnant. Lors de la compétition Capture the Flag (CTF), Galileo aurait identifié cette faille zero-day, une vulnérabilité que Google n’avait pas encore détectée. Pourtant, il aurait pris du temps à remonter cette découverte auprès de l’équipe de sécurité de Chrome. C’est alors que Sisu, un autre participant à l’événement et non membre de l’équipe ayant découvert la faille, aurait signalé la vulnérabilité avant Galileo et a été récompensé par la prime de 10 000 dollars offerte par Google pour sa découverte.
Galileo a expliqué que la rédaction du rapport sur la faille et la recherche de la personne responsable ont pris du temps, ce qui aurait retardé son signalement. Il est important de signaler rapidement les failles de sécurité pour qu’elles soient corrigées dans les plus brefs délais et pour protéger les utilisateurs contre d’éventuelles exploitations malveillantes.
La faille zero-day en question a finalement été corrigée par Google peu de temps après sa découverte, mais selon Galileo, elle ne représentait pas une menace urgente. Elle ne fonctionnait pas sur Android et n’avait qu’un impact limité sur d’autres versions de Chrome en provoquant des gelées temporaires de l’interface graphique.
Source: TechCrunch