La division Project Zero de Google annonce le début du concours Project Zero Prize,
pour débusquer des vulnérabilités sur Android avec 200 000 dollars à la clé
Comme plusieurs entreprises de la Silicon Valley, depuis plusieurs années déjà Google propose un programme de chasse aux bogues qui définit des récompenses en numéraire à attribuer aux chercheurs qui lui feront part de vulnérabilités qu’ils ont découvertes.
Toutefois, pour renforcer la détermination des chercheurs, Natalie Silvanovich du Project Zero de Google a annoncé que le numéro un de la recherche a décidé de proposer un nouveau concours. « Malgré l'existence des programmes de récompense des vulnérabilités de Google et d’autres entreprises, plusieurs bogues de sécurité uniques et importants ont été découvert à la suite de concours de piratage. Dans l’espoir de poursuivre cette tendance, nous avons décidé de lancer notre propre concours : le Project Zero Prize.
Le but de ce concours est de trouver une vulnérabilité ou une chaîne de bogues qui vont permettre d'obtenir l'exécution de code à distance sur plusieurs appareils Android tout en ne connaissant que le numéro de téléphone et l'adresse e-mail associés au dispositif », a-t-il expliqué
Concernant les prix en eux-mêmes, Google propose 200 000 dollars (premier prix), 100 000 dollars (second prix) et au moins 50 000 dollars pour le troisième prix. De plus, chacun des participants qui aura remporté ce concours sera invité à faire un bref rapport technique sur les vulnérabilités qu’ils ont découvert qui sera publié sur le blog du Project Zero.
Google explique que la structure de son concours sera un peu différente de celle des autres concours. Par exemple, au lieu de garder sous la main des bogues jusqu’à ce qu’il y ait une chaîne entière de bogues avant une soumission au Project Zero Prize, les participants sont priés de signaler les bogues dans l’outil de suivi des bogues Android. Ces soumissions peuvent alors être utilisées comme une partie de la présentation du participant à tout moment durant la période du concours (six mois). Seule la première personne à avoir signalé un bogue peut s’en servir comme une partie de sa présentation, de sorte que plus vite les participants signalent les bogues sur l’outil, plus vite ils sécurisent leurs présentations futures.
Et si au final le bogue signalé à l’outil n’était pas utilisé comme présentation dans le concours ? Google explique que, dans ce cas, le bogue signalé sera considéré comme faisant partie du Android Security Reward et tout autre programme de récompenses de Google après la fin du concours.
En outre, contrairement à d'autres concours, le partage public des vulnérabilités et des exploits soumis est primordial. Les participants doivent présenter une description complète de la façon dont leur exploit fonctionne avec leur soumission, qui sera finalement publiée sur le blog Project Zero. Chaque vulnérabilité et chaque technique utilisée pour l’exploiter sera mise à la disposition du public.
Google explique que ce qui le motive à faire ce concours est l’obtention d’information sur la façon dont ces bogues et exploits fonctionnent. « Il y a parfois des rumeurs d'exploits Android à distance, mais il est assez rare d’en voir une en action. Nous espérons que ce concours permettra d'améliorer les connaissances publiques sur ces types d'exploits. Espérons que cela va nous enseigner dans quels composants ces problèmes peuvent exister, comment les atténuations de sécurité sont contournés et d'autres informations qui pourraient nous aider à mieux protéger nos utilisateurs contre ces types de bogues.
En outre, nous espérons corriger des bogues dangereux de sorte qu'ils n'aient pas d’impact sur les utilisateurs. Les concours conduisent souvent à la correction de types de bogues qui sont moins fréquemment rapportés, aussi nous espérons que ce concours s’achève par quelques corrections de bogues dans Android ».
Source : blog Project Zero
Partager