Navigation

Inscrivez-vous gratuitement
pour pouvoir participer, suivre les réponses en temps réel, voter pour les messages, poser vos propres questions et recevoir la newsletter

  1. #1
    Chroniqueur Actualités

    Homme Profil pro
    Consultant informatique
    Inscrit en
    avril 2018
    Messages
    538
    Détails du profil
    Informations personnelles :
    Sexe : Homme
    Localisation : Côte d'Ivoire

    Informations professionnelles :
    Activité : Consultant informatique
    Secteur : High Tech - Éditeur de logiciels

    Informations forums :
    Inscription : avril 2018
    Messages : 538
    Points : 16 649
    Points
    16 649

    Par défaut Google paiera maintenant jusqu'à 30 000 $ pour le signalement d'un bogue sur Chrome

    Google paiera maintenant jusqu'à 30 000 $ pour le signalement d'un bogue sur Chrome
    Et 150 000 $ pour la vulnérabilité découverte sur Chromebook

    Chasser des bugs peut désormais rapporter gros chez Google, car la firme n'offre plus de petits montants à la communauté de chercheurs en sécurité de classe mondiale qui aident à défendre Chrome, et d'autres navigateurs basés sur Chromium. Le Chrome Vulnerability Reward Program, ou programme de récompense pour la vulnérabilité de chrome, récompensent les chercheurs pour avoir découvert et soumis directement des problèmes de sécurité. Google a annoncé jeudi, dans un article de blog publié sur sa page « Security Blog », qu’il augmente maintenant de façon générale les montants du Chrome Vulnerability Reward Program, avec la récompense pour les rapports de qualité supérieure qui est passée à 30 000 dollars et une prime pour la découverte de compromissions dans Chrome OS réévalué à 150 000 dollars.

    Google indique que les points saillants de l’augmentation des primes de bogues incluent le triplement de la récompense maximale pour un rapport dit « basique » avec très peu de détails de 5 000 $ à 15 000 dollars. La récompense maximale pour un rapport dit de « haute qualité », avec une multitude d’informations qui expliquent par exemple comment le bug peut-être exploité par des pirates, quelle est sa source, ou comment il peut-être résolu, double également de 15 000 dollars à 30 000 dollars, selon l’article du blog Chrome Security.

    Nom : Chr01.jpg
Affichages : 2934
Taille : 31,1 Ko

    La plus grosse somme est toujours pour la découverte de vulnérabilité dans Chrome OS, la base logicielle de Google pour Chromebook ou Chromebox. A ce niveau, Google a également augmenté sa récompense à 150 000 dollars pour des chercheurs qui parviendront à découvrir des attaques qui peuvent compromettre un Chromebook ou une Chromebox dans son mode invité plus restreint. Les bogues de sécurité trouvés dans le firmware et / ou qui permettent aux attaquants de contourner l'écran de verrouillage de Chrome OS génèrent également des récompenses, d’après l’article de blog.

    Google a créé son programme de prime de bogue depuis 2010. Jusqu’à ce jour, Google a reçu plus de 8 500 rapports de bogues et versé 5 millions de dollars aux chercheurs. La première modification de la base des récompenses a été faite en septembre 2014, quatre ans après le lancement du programme. Et en ce temps-là, le programme de prime aux bogues Chrome de Google avait payé plus de 1,25 million de dollars aux chercheurs en sécurité qui ont trouvé plus de 700 bogues dans son navigateur, mais Google avait trouvé que ce n'est pas suffisant. Cinq ans après, le nombre de rapports passe de 700 à 8 500 et le géant de la Silicon Valley a décidé de tripler les récompenses.

    En plus des augmentations citées plus haut, Google a aussi augmenté les récompenses pour le fuzz testing (ou test à données aléatoires), une technique pour tester des logiciels utilisée également par les chasseurs de bogues qui consiste à lancer des données aléatoires dans les entrées d’un produit logiciel dans le but de localiser les intrants problématiques. D’après l’article de blog, « Le bonus supplémentaire accordé aux bogues trouvés par les fuzzers fonctionnant sous le programme Chrome Fuzzer a également doublé à 1 000 dollars ».

    L’augmentation a aussi touché les montants versés aux chercheurs pour le Google Play Security Reward Program. En effet, les récompenses pour les bogues d'exécution de code à distance sont passées de 5 000 dollars à 20 000 dollars, le vol de données privées non sécurisées de 1 000 dollars à 3 000 dollars et l'accès aux composants protégés des applications de 1 000 dollars à 3 000 dollars, a dit Google jeudi. De surcroît, si vous divulguez de manière « responsable » les vulnérabilités aux développeurs d'applications participants, vous obtiendrez un bonus, d'après Google.

    Ci-dessous, la nouvelle liste augmentée et l'ancienne table des primes de bogues. Les récompenses pour les bogues de sécurité admissibles varient généralement de 500 $ à 150 000 $.

    Nom : Chr02.jpg
Affichages : 2928
Taille : 58,5 Ko
    Ancienne liste de récompenses


    Nom : Chr03.jpg
Affichages : 2811
Taille : 56,0 Ko
    Nouvelle liste de récompenses


    Les entreprises de technologie privilégient de plus en plus les primes de bogues pour faire participer les chercheurs en sécurités dans la sécurisation de leurs produits contre des attaques qui peuvent être utilisées pour voler des données personnelles, accéder aux réseaux d'entreprise, prendre des ordinateurs en otage jusqu'à ce qu'une rançon soit versée ou simplement planter la machine.

    Après la rocambolesque attaque contre Facebook qui a eu lieu en septembre dernier, affectant environ 30 millions de comptes, et au cours de laquelle des jetons d'accès (tokens) à des comptes ont été volés, Facebook a annoncé une augmentation de certaines récompenses pour son programme de Bug Bounty. « Notre objectif est de veiller à ce que des vulnérabilités, comme celle qui nous a été révélée en septembre, nous soient signalées de la manière la plus responsable et la plus opportune possible », déclaré la société.

    Ainsi dorénavant, pour la découverte et le signalement de vulnérabilités permettant des fuites de jetons d'accès ou la possibilité d'accéder à des sessions valides d'utilisateurs, ce sera 40 000 dollars si une interaction de l'utilisateur (pour une exploitation) n'est pas requise, et 25 000 dollars s'il y a un minimum d'interaction. Facebook a indiqué que cela vaut pour tous les produits de Facebook, y compris Instagram, WhatsApp et Oculus.

    En avril, après le scandale Cambridge Analytica, Facebook avait lancé également « Data Abuse Bounty » pour récompenser les signalements d'abus de données, dont les primes peuvent atteindre 40 000 de dollars.

    Mais ce ne sont pas seulement les entreprises de technologie qui récompensent les chasseurs de bogues, les gouvernements et les criminels paient également pour les vulnérabilités, qu’ils peuvent utiliser dans des activités comme l'espionnage et le vol d'identité.

    Dans billet de blog, Google a clarifié également ce qu'il considère comme un rapport de haute qualité et a mis à jour les catégories de bogues pour faciliter la tâche aux les chercheurs. « Nous avons également clarifié ce que nous considérons comme un rapport de haute qualité, pour aider les journalistes à obtenir la récompense la plus élevée possible, et nous avons mis à jour les catégories de bogues pour mieux refléter les types de bogues qui sont signalés et qui nous intéressent le plus », a précisé l’entreprise.

    Google dit que cette augmentation pour les chasseurs de bogues Chrome sera appliquée aux soumissions déposées après la publication de son article de blog. Vous trouvez plus de détails sur l’augmentation ici.

    Source : Google Security Blog

    Et vous ?

    Que pensez-vous de cette augmentation effectuée par Google ?
    Avez-vous déjà remporté une récompense pour avoir révélé une vulnérabilité ? Racontez votre expérience ?

    Lire aussi

    Google lance un nouveau programme de chasse aux bogues dans les applications Android, publiées par des développeurs tiers
    Scandale C.A. : Facebook lance « Data Abuse Bounty » pour récompenser les signalements d'abus de données, les primes peuvent atteindre 40 000 $ USD
    Apple pourrait payer une récompense au garçon de 14 ans qui a découvert le bogue, permettant d'espionner le destinataire d'un appel dans FaceTime
    Uber ou l'art de faire travailler les chasseurs de bogues sans leur verser de primes ? Un chercheur en sécurité raconte son expérience
    Contribuez au club : Corrections, suggestions, critiques, ... : Contactez le service news et Rédigez des actualités

  2. #2
    Membre éprouvé
    Profil pro
    MOA
    Inscrit en
    décembre 2002
    Messages
    764
    Détails du profil
    Informations personnelles :
    Localisation : France, Eure et Loir (Centre)

    Informations professionnelles :
    Activité : MOA

    Informations forums :
    Inscription : décembre 2002
    Messages : 764
    Points : 918
    Points
    918

    Par défaut

    En soit, c'est quelques choses de bien, parce que les meilleurs hackeurs vont se démener pour trouver la moindre faille et ce ne serait que bénéfique pour le produit maison Chrome.

    Cependant avec de tel prime, les meilleurs hackeurs vont se diriger uniquement vers Google et non plus les petites sociétés.

    Dans le monde des navigateurs, à l'heure actuelle, il n'existe plus qu'une seule alternative avec son moteur de rendu maison. Avec de telle somme, la dernière alternative va pouvoir se payer des hacker stagiaires

    Malheureusement on ne peux rien y faire et cela s'applique pour d'autres domaine, comme le foot avec certains club avec des budgets illimité qui peuvent se payer 1,2,3 joueurs exceptionnels.

Discussions similaires

  1. Réponses: 40
    Dernier message: 03/09/2017, 23h23
  2. Le PDG de Google prédit une très bonne année pour Android
    Par Baptiste Wicht dans le forum Android
    Réponses: 11
    Dernier message: 29/04/2009, 20h02
  3. Réponses: 0
    Dernier message: 21/03/2008, 11h44
  4. Réponses: 3
    Dernier message: 18/02/2008, 00h20

Partager

Partager
  • Envoyer la discussion sur Viadeo
  • Envoyer la discussion sur Twitter
  • Envoyer la discussion sur Google
  • Envoyer la discussion sur Facebook
  • Envoyer la discussion sur Digg
  • Envoyer la discussion sur Delicious
  • Envoyer la discussion sur MySpace
  • Envoyer la discussion sur Yahoo