Pour gérer vos consentements :

Sécurité IT : tout un programme pour Android

Google va se montrer plus généreux envers les chercheurs qui dénicheront des failles de sécurité dans son système d’exploitation mobile.

Le groupe Internet a profité du sommet Black Hat Mobile Security de Londres pour lancer un programme dédié baptisé Android Security Rewards.

Cette initiative ne couvrira toutefois que la dernière version d’Android disponible pour les smartphones et tablettes commercialisés sur le Play Store aux États-Unis. C’est-à-dire, dans l’état actuel, le Nexus 6 et la Nexus 9 (les autres appareils, de type Nexus Player ou Android Wear, ne sont pas concernés).

Certains bugs trouvés dans du code externe à Android peuvent entrer en ligne de compte s’ils impactent indirectement la sécurité de l’OS ; en se logeant par exemple dans le firmware d’un des composants.

Les éléments d’Android déjà couverts par d’autres programmes ne sont en revanche pas éligibles à récompenses. Illustration avec le navigateur Web Chrome, qui a son propre « Bug Bounty ».

Parmi les autres types de failles qui ne peuvent donner lieu à une gratification figurent les attaques par phishing et plus globalement toutes celles jugées « trop complexes » car elles requièrent des actions bien précises – et peu probables – de la part de l’utilisateur.

Globalement, plus la faille est critique, mieux elle est récompensée. Les sommes versées sont plus importantes pour les chercheurs qui incluent un rapport détaillé, un moyen de reproduire le bug, des scénarios d’exploitation, voire des correctifs.

Dans tous les cas, Google applique le principe du « premier arrivé, premier servi ». A une condition : celle d’être le premier et le seul informé.

Le ticket minimum est fixé à 500 dollars (voir le tableau ci-dessous) pour des vulnérabilités « modérément importantes ». On monte à 8 000 dollars pour une faille critique avec toutes les pièces à conviction.

A noter qu’il existe des « prix spéciaux ». Par exemple, 10 000 euros pour des attaques (ou suites d’attaques) qui permettent de compromettre le noyau depuis une application installée ou en ayant un accès physique à l’appareil. Une somme doublée si l’assaut se déroule à distance… et portée à 30 000 dollars si elle touche la TrustZone (technologie de sécurité) ou le Verified Boot (vérification d’intégrité au démarrage).

Google restreint l’Android Security Rewards à des appareils dont il a pleinement le contrôle, mais estime que cette démarche « bénéficiera à tout l’écosystème ». D’autant plus qu’un correctif peut être récompensé même s’il n’élimine pas la faille (à condition d’apporter une défense supplémentaire pour le noyau, les bibliothèques ou encore les pilotes).

Quiconque ne souhaiterait pas toucher les sommes promises peut demander qu’elles aillent à des organisations caritatives (leur montant est alors doublé).

Google dit avoir versé 4 millions de dollars depuis le lancement, en 2010, de son premier Bug Bounty. Dont près d’un milliard et demi en 2014, à plus de 200 personnes.

Crédit photo : Andrea Danti – Shutterstock.com

Recent Posts

Surface Pro 10 : plus autonome et un peu plus réparable

La Surface Pro 10 sera disponible le 9 avril en France. Passage en revue de…

3 jours ago

Office 2024 : ce qu’on sait de la prochaine version

Que réserve Office 2024 ? Une première version de test officielle sera disponible en avril.…

1 semaine ago

Microsoft Teams : comment fonctionne le double usage « pro-perso »

Microsoft Teams évolue dans une version « unifiée » qui permet de combiner les usages…

2 semaines ago

GenAI : comment choisir une solution « prête à l’emploi »

Les offres d'intelligence artificielle générative (GenAI) "prêtes à l'emploi" sont nombreuses et proposent une variété…

3 semaines ago

Sora : comment fonctionne le nouveau modèle text-to-vidéo

OpenAI, l'inventeur de ChatGPT, lance un nouveau modèle text-to-vidéo qui impressionne par sa qualité. Appelé…

1 mois ago

GenAI : qui peut accéder à Gemini (ex Bard) ?

Google a officialisé le lancement de Gemini, le nouveau nom de son outil de GenAI.…

1 mois ago