L’équipe de développeurs de Google a manqué de temps et a réussi à livrer un correctif seulement 24 heures après son exposition lors de la conférence CanSecWest, qui met au défi les pirates (un mot utilisé ici avec de bonnes intentions) de détecter et de révéler les failles de sécurité pour les développeurs de logiciels. Il s’agissait d’une vulnérabilité de Chrome.
C’est l’étudiant russe Sergey Glazunov qui a découvert l’exploit et a pris soin de montrer la faille aux gens de Google. Une fois qu’ils ont compris le problème, ils se sont précipités sur le code source et ont mis à jour le navigateur. Si vous êtes un fan du navigateur de Google, vous ne l’avez probablement pas remarqué, mais la mise à jour est disponible et probablement installée sur votre ordinateur sans même attirer votre attention.
Sur la page de sortie de Chrome, un représentant de Google félicite l’étudiant d’avoir trouvé l’erreur de code critique CVE-2011-3046. Il est lié aux UXSS et aux problèmes d’historique de navigation.
Google s’est abstenu de faire des commentaires sur les détails de la vulnérabilité. Ils ont raison, car il y a encore des utilisateurs peu méfiants avec le navigateur dans des versions sans le patch. Le grand avantage du système de distribution de Chrome est précisément cela : la rapidité avec laquelle une mise à jour parvient aux utilisateurs. Les mauvaises langues disent qu’un patch similaire prendrait des mois à sortir s’il était trouvé dans Internet Explorer. A quel point…
En plus d’aider l’internet en général, le Russe a également remporté un beau prix. Il a empoché 60 000 euros pour un simple bug de Google Chrome. Pas mal ! Puisse-t-elle continuer à être bien payée pour rendre notre navigation plus sûre.
Google n’est que l’un des nombreux sponsors de CanSecWest (il y a aussi Microsoft, Blackberry, Intel, Amazon, Kaspersky et l’omniprésent Adobe).
