Pwnium 2 : Google lance la chasse aux 2 millions de dollars
Des exploits de Chrome et revoit à la hausse ses récompenses

Dans le cadre de la deuxième édition de "Pwnium", Google offrira jusqu'à 2 millions de dollars en récompense aux chercheurs en sécurité qui réussissent à trouver et exploiter des vulnérabilités au sein de son navigateur. Cette compétition est prévue pour le 10 octobre, en parallèle avec la conférence « Hack In The Box » de Kuala Lumpur, Malaisie.

Diverses récompenses sont prévues selon le type et la sévérité des vulnérabilités. Pour celles qui exploitent complètement les dernières branches stables de Chrome et Chromium, Google offrira 60 mille dollars. Pour les vulnérabilités qui exploitent partiellement Chrome, comme celles qui combinent un bug dans WebKit avec un autre dans Windows, les chercheurs recevront 50 mille dollars.



Pour les failles de sécurité qui ne concernent pas Chrome directement, l'entreprise offrira 40 mille dollars. Ceci concerne tout particulièrement Adobe Flash et Windows. Par la voix de Chris Evans, ingénieur logiciel chez Google, l'entreprise se dit heureuse d'avoir contribué à rendre « le web plus sûr par tous les moyens possible – même en récompensant des vulnérabilités en dehors de notre contrôle immédiat ».

Les exploits dits « incomplets » seront aussi de la partie. Ils concernent les exploits peu fiables ou insuffisants, comme ceux qui exécutent du code dans le sandbox Chrome, mais échouent à en échapper. Google confirme que ce type d'exploits permettront d'apprendre beaucoup de choses. Pour cela, la somme de la récompense sera fixée par le panel de la compétition.

Pour le meilleur exploit de la compétition, le gagnant partira avec la machine ciblée pendant la compétition, à savoir un laptop Acer Aspire V5-571-6869. Un butin de guerre modeste, mais symbolique.

Evans confirme que la première édition organisée cette année à la conférence CanSecWest outrepassait les attentes de l'entreprise et a permis de rendre Chromium nettement plus sûre. Deux soumissions ont été récompensées de 120 mille dollars.

Google déplore une baisse substantielle du nombre de bogues reportés par son programme de récompenses hors compétition. Il réplique par l'ajout de nombreux bonus qui pourrait réveiller la tentation auprès des chercheurs en sécurité...



Sources :
L'annonce de Pwnium 2 sur le blog de Google Chrome
L'annonce des nouvelles récompenses

Et vous ?

Allez-vous participé à ce concours et au programme de récompense hors compétition de Google ?
Que pensez-vous du concept et des récompenses de cette édition ?