Rechercher
Contactez-nous Suivez-nous sur Twitter En francais English Language
 

De la Théorie à la pratique











Abonnez-vous gratuitement à notre NEWSLETTER

Newsletter FR

Newsletter EN

Vulnérabilités

Se désabonner

Imperva : une nouvelle faille sur Google+

décembre 2018 par Terry Ray, CTO chez Imperva

Suite à une nouvelle faille sur Google+, Google est obligé d’avancer la fermeture de son réseau social, et de fermer toutes les APIs. Terry Ray, CTO chez Imperva, expert en cybersécurité, réagit à cette actualité :

« Google vient de passer deux mois difficiles en termes de la cybersécurité. La bonne nouvelle est que Google a identifié les vulnérabilités lui-même, ce qui n’est pas toujours le cas, et ses équipes se sont mobilisées pour éviter que les données des utilisateurs ne soient une nouvelle fois exposées, en prenant la décision de supprimer définitivement Google+ quatre mois plus tôt que prévu initialement. Si les données ont été exposées c’est en quelque sorte qu’une porte a été laissée ouverte, mais d’après Google, personne n’y est entré et rien n’a été pris. Dans le cadre de cette deuxième faille de sécurité, Google estime qu’aucun document n’a été volé et que la vulnérabilité a été corrigée, et précise également qu’il s’agit d’une annonce publique proactive.

Je me suis exprimé récemment au sujet de certaines de ces annonces proactives, qui pourraient en effet déclencher une véritable tendance. Il semble que les entreprises ont commencé à informer leurs utilisateurs des failles des données, que ce soit pour faire preuve de bonne volonté en prévision d’un potentiel vol et/ou dans l’espoir que les utilisateurs examineront leurs paramètres de compte et feront preuve de vigilance lors de l’examen des courriels et d’autres communications.

Le PDG de Google, Sundar Pichai, devra probablement répondre à des questions complexes demain, d’autant plus que la première faille ne devait initialement pas être dévoilée aux utilisateurs. Cependant, il est rassurant de constater que Google prend ce cas au sérieux et qu’il tire des leçons de ses erreurs.

Le bug se trouvait dans les API de Google, qui peuvent fournir une passerelle directe vers les informations sensibles des utilisateurs sans vérifier qui accède aux données. Ce type de menace est de plus en plus préoccupant pour les entreprises, car ces applications sont essentielles pour tous les secteurs. Comme nous l’avons vu au cours de l’année écoulée, les API sont particulièrement vulnérables aux erreurs de codage des applications tierces. En effet, les applications Web deviennent de plus en plus complexes car les utilisateurs et les entreprises exigent davantage de leurs expériences d’utilisation des dispositifs online, mobiles et connectés. Je m’attends à voir davantage de données exposées et de brèches autour de l’API en raison de cette complexité qui ne cesse de croitre. »




Voir les articles précédents

    

Voir les articles suivants