Sur son blog, Allison Husain explique avoir informé l'entreprise le 3 avril 2020 d’une vulnérabilité dans sa messagerie. Elle a découvert un problème dans la configuration permettant « à un attaquant d'envoyer des e-mails en se faisant passer pour n'importe quel autre utilisateur ou client G Suite, tout en passant à travers les règles SPF et DMARC les plus restrictives ».

• Emails avec SPF, DKIM, DMARC, ARC et BIMI : à quoi ça sert, comment en profiter ?

Le 16 avril, Google accepte la soumission. Quatre mois plus tard, rien n’a bougé. Allison Husain prévient alors de son intention de publier sa découverte en fixant une date butoir au 17 août. Quatre jours plus tard, le 5 août Google répond qu’un « correctif est en préparation et indique que certaines atténuations devraient être mises en place avant le 17 août ».

Finalement, le 14 août le ticket d’incident est mis à jour, le correctif est prévu pour le 17… septembre. La chercheuse décide de ne pas attendre plus longtemps. 137 jours après la découverte, le 19 août, la faille est dévoilée publiquement. Il ne faudra alors que quelques heures à Google pour la boucher.

C’est un peu l’histoire de l’arroseur arrosé étant donné que Google est le premier à imposer un délai de 90 jours (parfois extensibles sous la forme d’une période de grâce) pour la résolution de bugs et à publier des détails, que la brèche soit corrigée ou non.