IdentifiantMot de passe
Loading...
Mot de passe oublié ?Je m'inscris ! (gratuit)
Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

Sécurité Discussion :

Google augmente le montant des récompenses pour les failles dans Chrome


Sujet :

Sécurité

  1. #1
    Responsable .NET

    Avatar de Hinault Romaric
    Homme Profil pro
    Consultant
    Inscrit en
    Janvier 2007
    Messages
    4 570
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Cameroun

    Informations professionnelles :
    Activité : Consultant
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : Janvier 2007
    Messages : 4 570
    Points : 252 372
    Points
    252 372
    Billets dans le blog
    121
    Par défaut Google augmente le montant des récompenses pour les failles dans Chrome
    Google augmente le montant des récompenses pour les failles dans Chrome
    le plafond passe de 5 000 à 15 000 $

    Pour motiver un peu plus les chercheurs en sécurité à continuer à traquer les failles de sécurité dans son navigateur Chrome et Chrome OS, Google a procédé à une augmentation du montant des récompenses pour les vulnérabilités qui seront signalées à la firme. Les chercheurs en sécurité auront également en plus une meilleure reconnaissance du monde de la sécurité informatique.

    Grâce aux nouvelles directives, le montant des récompenses qui était avant compris entre 500 et 5 000 dollars, sera désormais compris entre 500 et 15 000 dollars. Les chercheurs qui ont signalé des failles en juillet 2014 pourront bénéficier de cette augmentation.

    Le montant de la récompense varie en fonction du type de faille et de la gravité de celle-ci. Le tableau ci-dessous donne la répartition en fonction de ces paramètres.


    Tim Willis, membre de l’équipe de sécurité de Google, explique dans un billet de blog que Chrome est désormais plus sûr et qu’il est donc beaucoup plus difficile de trouver et d’exploiter des failles de sécurité dans le navigateur.

    Il faut noter cependant que pour certaines failles, Google est capable d’aller au-delà de ces montants. C’est le notamment le cas pour une vulnérabilité dans le moteur V8 qui avait été découverte dans Chrome OS le mois dernier. La faille pouvait entrainer l’exécution du code à distance en dehors du bac à sable (sandbox). Pour cette faille, Google avait offert 30 000 dollars comme récompense à celui qui l’avait signalé.

    Google excède le plafond défini essentiellement lorsque la faille est signalée avec un exploit pour démontrer son utilisation. Les chercheurs pourront dorénavant signaler la faille et transmettre la preuve de faisabilité (PoC) plus tard. Cela permet à Google de travailler sur correctif alors que le chercheur en sécurité prépare un PoC.

    Depuis le lancement de son programme de récompenses pour Chrome, Google a corrigé près de 700 failles de sécurité qui ont été signalées dans Chrome et procédé au paiement de 1,25 million de dollars aux chercheurs en sécurité.

    Ce programme représente pour la firme un excellent moyen de collaboration avec la communauté des chercheurs en sécurité. Ce programme a permis à la société de rapidement combler les failles dans Chrome et de mettre l’utilisateur final à l’abri des attaques.

    Il faut noter que le marché des vulnérabilités est assez controversé. Plusieurs experts en sécurité préfèrent garder le secret sur les failles qu’ils découvrent pour les vendre au plus offrant sur le marché noir.


    Source : Google


    Et vous ?

    Que pensez-vous de cette augmentation ?

    Que pensez-vous des chercheurs en sécurité qui préfèrent vendre les failles au plus offrant ?
    Vous souhaitez participer aux rubriques .NET ? Contactez-moi

    Si déboguer est l’art de corriger les bugs, alors programmer est l’art d’en faire
    Mon blog, Mes articles, Me suivre sur Twitter
    En posant correctement votre problème, on trouve la moitié de la solution

  2. #2
    Membre averti
    Avatar de Dumbeldor
    Homme Profil pro
    Développeur Concepteur Banque postale / Ecole d'ingénieur Alternance
    Inscrit en
    Novembre 2013
    Messages
    88
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 27
    Localisation : France, Landes (Aquitaine)

    Informations professionnelles :
    Activité : Développeur Concepteur Banque postale / Ecole d'ingénieur Alternance

    Informations forums :
    Inscription : Novembre 2013
    Messages : 88
    Points : 301
    Points
    301
    Par défaut
    C'est bien qu'ils mettent ça en place.
    Au moins sa motivera moins au "hacker" de vendre ses failles à sur le marché noir mais aussi a des gouvernements peut être qui en profiteront...
    N'oubliez pas de mettre un petit pouce vert si mon message vous a aidé !

  3. #3
    Membre éprouvé Avatar de Shuty
    Homme Profil pro
    Ingénieur en développement
    Inscrit en
    Octobre 2012
    Messages
    630
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Ingénieur en développement
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Octobre 2012
    Messages : 630
    Points : 1 174
    Points
    1 174
    Par défaut
    J'ai toujours trouvé l'idée intéressante de récompensé le chercheur... Surtout qu'il y a beaucoup de travail quand on est face a un outil aussi complexe et déjà pas mal "sécure"...

    Je tire mon chapeau à Google, la démarche est la bonne !
    Agence web Dim'Solution, créateur de solutions numériques
    Sites internet, ecommerce, logiciels, applications mobiles, référencement (SEO), plugin Prestashop, Magento, WordPress, Joomla!...

    Cours de trading gratuit | Envoyer des sms gratuitement | Envoyer des fax gratuitement | Plateforme de Fax à l'international

  4. #4
    Modérateur

    Avatar de kOrt3x
    Homme Profil pro
    Technicien Informatique/Webmaster
    Inscrit en
    Septembre 2006
    Messages
    3 650
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Âge : 40
    Localisation : France, Nord (Nord Pas de Calais)

    Informations professionnelles :
    Activité : Technicien Informatique/Webmaster
    Secteur : Santé

    Informations forums :
    Inscription : Septembre 2006
    Messages : 3 650
    Points : 15 771
    Points
    15 771
    Par défaut
    C'est bien et ils peuvent se le permettre chez Google, c'est quoi 15000$ pour eux ? C'est rien.
    La rubrique Mac
    Les cours & tutoriels Mac
    Critiques de Livres Mac & iOS
    FAQ Mac & iOS

    ________________________________________________________________________
    QuickEvent : Prise de rendez-vous rapide pour iPhone/iPad et iPod Touch (AppStore)
    Mon Livre sur AppleScript : AppleScript: L'essentiel du langage et de ses applications

  5. #5
    Membre éprouvé Avatar de Shuty
    Homme Profil pro
    Ingénieur en développement
    Inscrit en
    Octobre 2012
    Messages
    630
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France, Paris (Île de France)

    Informations professionnelles :
    Activité : Ingénieur en développement
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Octobre 2012
    Messages : 630
    Points : 1 174
    Points
    1 174
    Par défaut
    Citation Envoyé par kOrt3x Voir le message
    C'est bien et ils peuvent se le permettre chez Google, c'est quoi 15000$ pour eux ? C'est rien.
    Ce n'est peut être pas grand chose 15000$ à leur échelle mais ils pourraient ne pas le faire, voir seulement donner 5000$... Il faut relativiser, Google reste une entreprise, et son but n'est pas non plus de faire des dons trop onéreux...
    Agence web Dim'Solution, créateur de solutions numériques
    Sites internet, ecommerce, logiciels, applications mobiles, référencement (SEO), plugin Prestashop, Magento, WordPress, Joomla!...

    Cours de trading gratuit | Envoyer des sms gratuitement | Envoyer des fax gratuitement | Plateforme de Fax à l'international

  6. #6
    Expert éminent
    Homme Profil pro
    Ingénieur développement logiciels
    Inscrit en
    Août 2007
    Messages
    2 161
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : France

    Informations professionnelles :
    Activité : Ingénieur développement logiciels
    Secteur : High Tech - Multimédia et Internet

    Informations forums :
    Inscription : Août 2007
    Messages : 2 161
    Points : 7 952
    Points
    7 952
    Par défaut
    Citation Envoyé par Shuty Voir le message
    Ce n'est peut être pas grand chose 15000$ à leur échelle mais ils pourraient ne pas le faire, voir seulement donner 5000$... Il faut relativiser, Google reste une entreprise, et son but n'est pas non plus de faire des dons trop onéreux...
    Ce n'est pas des dons
    C'est la rétribution d'un travail effectué
    Identifier et analyser une faille, c'est un travail et qui n'est pas à la porté de tout le monde non plus

    Je partage ton avis sur le fait de relativiser le montant alloué à ces contributions spontanées car après tout, Google ne mandate pas explicitement ces experts en sécurité pour faire ce travail
    Mais appeler ça des "dons", est un terme péjoratif que je ne cautionne pas

Discussions similaires

  1. Recuperer le nom des onglets pour les mettre dans une colonne
    Par nico4566 dans le forum Macros et VBA Excel
    Réponses: 5
    Dernier message: 21/03/2011, 18h23
  2. Réponses: 6
    Dernier message: 05/03/2011, 20h52
  3. [applet]utilser des infos pour les traiter dans une servlet
    Par jeromejanson dans le forum Applets
    Réponses: 5
    Dernier message: 08/03/2010, 00h22
  4. Réponses: 5
    Dernier message: 11/10/2008, 01h21
  5. Réponses: 4
    Dernier message: 03/01/2008, 13h37

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo