Discussion :

[Malick]

Android Security Rewards : Google porte le montant de la meilleure récompense à 200 000 dollars,
au terme de deux années sans gagnant

Dans le cadre de son programme de récompenses dénommé Android Security Rewards et relatif à la découverte de failles dans le système Android, Google vient de porter à l'attention du public que le montant de la meilleure récompense est maintenant porté à 200 000 dollars. Cette décision de quadrupler la prime de ladite récompense par rapport à celle qui était prévue au lancement du programme il y a de cela deux ans s'explique, selon Google, par le fait que durant tout ce temps aucun paiement n'a été enregistré au titre de la meilleure récompense.

Pour rappel, c'est au mois de juin de l'année 2015 que la firme de Mountain View avait lancé son programme Android Security Rewards visant à récompenser les chercheurs et toutes autres entités qui parviendraient à découvrir des failles dans le célèbre système d’exploitation en l'occurrence Android. L'objectif derrière ce programme est de permettre à l'équipe des développeurs du projet de renforcer la sécurité du système.

Google soutient également dans son rapport que d'énormes progrès ont été enregistrés au terme de la deuxième année du programme. Dans son annonce, le géant de la recherche affirme avoir reçu plus de 450 rapports de bogues ou vulnérabilités découverts sur Android. Il ajoute également que depuis le lancement du programme Android Security Rewards, les chercheurs en sécurité ont été globalement rémunérés à plus de 1,5 million de dollars. Au terme de la dernière année, la rémunération moyenne par chercheur a augmenté de 52,3 % et au même moment, le montant de la rémunération moyenne a doublé pour s'établir à 1,1 million de dollars. Nous avons payé 115 personnes avec une moyenne de 2150 dollars par récompense et 10 209 dollars par chercheur.L'équipe de recherche du nom de Core Team a obtenu plus de 300 000 dollars pour 118 rapports émis sur les vulnérabilités dans Android. Google a également payé 31 chercheurs à 10 000 dollars ou plus.

En ce qui concerne la nouvelle grille des récompenses mise en place, elle s'établit comme suit :
le montant de la récompense en cas de découverte de vulnérabilités permettant d’exécuter à distance du code malveillant est passé de 50 000 dollars à 200 000 dollars ;
la récompense pour un exploit kernel à distance a également augmenté passant de 30 000 dollars à 150 000 dollars.

« En plus de récompenser la découverte de vulnérabilités, nous continuons à travailler sur l'écosystème Android afin de protéger les utilisateurs des problèmes signalés dans notre programme. Nous collaborons avec les fabricants pour nous assurer que ces problèmes sont résolus sur leurs appareils grâce à des mises à jour de sécurité mensuelles . Plus de 100 modèles de périphériques possèdent la majorité de leurs périphériques déployés exécutant une mise à jour de sécurité depuis les 90 derniers jours », déclare Google.

Le tableau ci-dessous récapitule la plupart des dispositifs déployés et exécutant une mise à jour de sécurité depuis les deux derniers mois :

Source : blog android developers

Et vous ?

Qu'en pensez-vous ?

Voir aussi

Google lance un programme de récompenses pour la découverte des failles Android, permettant de gagner jusqu'à 40 000 dollars

[l'art souille]

D'après Google, Android est tellement sûr qu'en 2 ans personne n' a été en mesure de trouver une faille ? Punaise ...

[orgon]

Ce n'est pas "d'après Google", mais éventuellement, d'après l'auteur de l'article. De plus, ils ne peuvent pas penser que Android est si sûr, puisqu'il il y a déjà eu +ieurs centaines de bugs corrigés. Par dessus tout, s'ils lancent ce prix, c'est qu'il ne sont pas certains, precisément, de le trouver eux-même d'une part, et conçoivent qu'il vaut mieux proposer un prix pour un pirate cherchant une faille, que de subir une attaque simplement malveillante. Bravo!