Depuis 2010, le Google paie des gens pour trouver des failles de sécurité dans le code de la plus grande plateforme numérique.
Depuis la mise en place de ce système, l'entreprise a payé plus de 5 millions de dollars à ceux qui ont pris leur temps à cette fin.
voir plus
Les bénéficiaires avec la fin de NIS 7 reçoivent Bolsa Família ce…
Le bénéfice du FGTS a déjà été décidé et sera distribué aux travailleurs…
Récemment, le géant de la recherche a annoncé l'augmentation des récompenses, avec un paiement maximum de 150 000 $ et d'autres paiements doublant ou triplant en taille.
Jusqu'à présent, 8 500 rapports et paiements ont été signalés, appelés primes de bogue. Les paiements pour ces expositions s'élèvent à plus de 5 millions de dollars.
Le programme Chrome Vulnerability Bounty offre un doublement de la prime pour les « rapports de qualité » (de 15 000 $ à 30 000 $). Le montant est triplé lorsque vous avez un rapport de base.
Un rapport de qualité devrait avoir un cas de test minimisé, ainsi qu'une analyse qui joue le rôle de déterminer la cause de l'échec, un correctif suggéré et une démo pour signaler un bogue potentiel se passer.
Dans les cas de rapport de base, il doit y avoir un test minimisé pour que le problème soit exploitable.
Laurie Mercer, ingénieur en sécurité chez HackerOne, rend compte des paiements de Google, affirmant qu'ils sont très bien empochés.
"La récompense pour les participants qui peuvent compromettre un Chromebook ou une Chromebox est l'une des récompenses les plus élevées sur le marché aujourd'hui", a-t-il déclaré.
Il a ajouté que soumettre un bogue éligible pour cette prime "garantirait une place dans le prestigieux Google Hall of Fame".
Cependant, par rapport à zérodium, une entreprise de sécurité numérique, connue comme le meilleur payeur des chercheurs qui découvrent des failles avant les entreprises elles-mêmes, Google laisse à désirer. L'entreprise verse généralement une prime de 500 000 $ tant qu'elle propose l'exécution de code à distance et l'élévation locale des privilèges contre Chrome, par exemple.
D'autre part, sur les marchés illégaux, des enchères sont réalisées en raison de failles dans le système de l'entreprise, de sorte que des prix élevés sont proposés, parfois même supérieurs aux récompenses rapportées ici. Cependant, ce type d'activité comporte un risque, car il n'y a aucune garantie de confidentialité et de paiement. Sans compter que ces chercheurs n'ont pas la possibilité de présenter leurs travaux lors de congrès.
Sean Wright, chercheur en sécurité des applications, a quelques mises en garde à ce sujet :
« Si vous voulez de l'argent, vous vendrez à Zerodium. Si vous voulez être éthique, vous le ferez savoir à Google. À moins que Google n'égale les sommes versées par Zerodium, il est peu probable que cela change.
Google récompense également les "bugs" trouvés dans les "fuzzers". Il s'agit d'un logiciel utilisé pour tester les paramètres de diverses applications. Sa fonction est basée sur le processus d'insertion de données invalides ou aléatoires afin que le logiciel cible s'effondre ou perde de la mémoire afin qu'il puisse être exploité par un attaquant. Les fuzzers sont monnaie courante sur Google, et ceux qui trouvent des bogues sont récompensés.
Grâce à Google, il est possible de créer une chaîne d'exploit et de compromettre un Chromebook en mode invité. Les récompenses instantanées sont disponibles dans tous les domaines.
Le programme Google Play Security Bounty a augmenté le montant du paiement pour les chercheurs en s'associant à HackerOne, une plate-forme de sécurité contre les pirates. Il s'agit d'un programme qui récompense également ceux qui trouvent des vulnérabilités, mais cette fois dans des applications populaires. La valeur peut atteindre jusqu'à 20 000 dollars américains.
Voir aussi :