YouTube : la faille qui permettait de supprimer des vidéos sans autorisation

Une brèche de YouTube désormais colmatée permettait à des utilisateurs malveillants d'effacer des vidéos sans permission.

Mardi dernier, un chercheur du nom de Kamil Hismatullin publiait sur son blog un billet indiquant sa découverte d’une faille de YouTube. Celle-lui était apparue en analysant, des heures durant, le logiciel YouTube Creator Studio. Une démarche que Kami avait effectuée dans le cadre du programme « Vulnerability Research Grants » de Google, lequel offre à divers chercheurs la possibilité de chercher des failles dans plusieurs logiciels contre rémunération.

Kamil avait donc jeté son dévolu sur l’outil de YouTube censé permettre à ses utilisateurs de mieux gérer leur chaîne. Son étude du logiciel l’amènera à découvrir un bug qui l’autorisait à supprimer n’importe quelle vidéo de la plate-forme par l’envoi d’une simple requête.

Faille de YouTube : Google réagit en quelques heures

Suite à sa découverte, Kamil a contacté Google pour lui rapporter la faille. Il obtiendra un retour rapide de la société, et le bug d’être corrigé quelques heures plus tard. Le chercheur s’est vu récompensé de 5 000 dollars pour ses actions, une somme d’ailleurs jugée insuffisante pour l’un des commentateurs de son billet.

5 000 dollars remis au chercheur

Et si Kamil a lui aussi admis qu’il s’attendait à être payé davantage (entre 15 000 et 20 000 dollars) en regard des efforts fournis et du lourd danger potentiel que représentait cette faille, il comprend cependant qu’il ne pouvait prétendre à meilleure rémunération. En effet, YouTube est considérée par le programme comme une « application normale de Google », et le bug trouve sa place dans la catégorie « fuite de bugs logiques ou qui outrepassent d’importants contrôles de sécurité ». En d’autres termes, Kamil a reçu le maximum possible pour un rapport de ce genre.