S'identifier / Créer un compte
  • Actualités
  • Dossiers
  • Tests
  • Commentaires
  • INpactiens
Publicité

Google augmente aussi sa prime au bug : jusqu'à 3133,7 $

Buggy the Kid, on aura ta peau

La saison de la chasse aux bugs vient de rouvrir. Après Mozilla, qui a ouvert le bal ce lundi en augmentant la récompense pour les failles de sécurité jusqu'à 3 000 dollars, c'est au tour de Google de faire de même.

BUG WANTED

Le groupe de Mountain View a annoncé mardi que la récompense maximale pour les bugs de Chrome qui lui sont signalés était augmentée, passant de 1 337 dollars à 3 133,70 dollars. Elle passe donc de "Leet" à "Eleet", restant dans le thème des mots signifiant élite. La récompense minimum reste à 500 dollars, pour les bugs moins importants. Les plus petits bugs n'ont pas droit à une récompense monétaire mais peuvent voir le nom de leurs découvreurs arriver sur le Hall of Fame de Chrome.

Pour toucher la récompense maximale, il faudra trouver une faille critique dans Chrome (telles que définies sur cette page). La récompense pour les bugs moins graves pourra aussi être augmentée si le rapport est de bonne qualité : « les facteurs pouvant indiquer un rapport de bug de grande qualité peuvent inclure une réduction attentive des cas possibles, une analyse précise des causes profondes, ou des propositions constructives pour le résoudre ».

La récompense précédente avait été établie en février 2010, et son augmentation est selon Google liée au fait que la Sandbox de Chrome rende les failles critiques beaucoup plus difficiles à trouver.

Cependant, cette annonce combinée à l'augmentation effectuée par Mozilla laisse deviner que ces récompenses ont prouvé leur efficacité pour dénicher des bugs graves qui échappaient autrement aux développeurs. Dans le même temps, certains chercheurs en sécurité exigent maintenant de vrais retours monétaires pour le travail de sécurité qu'ils effectuent pour les entreprises.

Une nouvelle politique de divulgation des failles

Le même jour, Google a annoncé mettre en place une nouvelle politique de divulgation des failles trouvées dans les logiciels tiers par leurs chercheurs en sécurité, et encourage toute la communauté à adopter les mêmes, même dans les cas où c'est à Google que les failles sont rapportées :
  • Associer une date de divulgation à toute vulnérabilité importante qu'ils rapportent, avec un délai dépendant de la complexité du fix (par exemple un problème de design demande plus de temps pour être corrigé qu'un bug de mémoire corrompue)
  • Répondre à une date limite non respectées ou au refus de corriger le problème en publiant une analyse de la vulnérabilité, avec toute suggestion de contournement du problème qui pourrait aider les utilisateurs
  • Établir une date de divulgation proche s'il y a des preuves que des blackhats ont déjà connaissance du bug
Cette procédure a pour but d'obliger les entreprises à corriger les problèmes de sécurité de leurs programmes, car beaucoup comptent sur une « divulgation responsable » des vulnérabilités par les chercheurs, c'est-à-dire aucune révélation au public, pour ne pas corriger ces failles. Du coup selon Google de nombreuses failles critiques 0-day de ces dernières années étaient en fait déjà connues des entreprises.

Dans ces conditions, dévoiler le bug au grand jour peut être dans l'intérêt du public, puisqu'il pourra mieux se protéger de la vulnérabilité, voire changer de logiciel, tout en obligeant l'entreprise à corriger cette faille au plus vite.

En France néanmoins il n'est pas forcément recommandé aux chercheurs en sécurité d'adopter cette attitude, puisqu'elle pourrait être condamnable par la justice. En effet, suite à un arrêt de la Cour de cassation le full disclosure est dans certains cas un délit en France, car est une "incitation au piratage". Les entreprises hexagonales ont donc tout le loisir d'enterrer les rapports de sécurité qui leur sont faits...
Publiée le 22/07/2010 à 10:28

Soutenez l'indépendance de Next INpact en devenant Premium

  • Tout le contenu de Next INpact sans pub
  • Et bien plus encore...

Il y a 24 commentaires

Avatar de exopci INpactien
exopci Le jeudi 22 juillet 2010 à 10:43:06
Inscrit le dimanche 6 décembre 09 - 161 commentaires
On voit qu'ils tiennent à leur côté leet
Avatar de gokudomatic INpactien
gokudomatic Le jeudi 22 juillet 2010 à 10:43:41
Inscrit le mercredi 15 décembre 04 - 12298 commentaires
c'est ça la gueule d'un bug? j'en ai un paquet sur ma carte mère. Chuis riche! win.gif
Avatar de copaz INpactien
copaz Le jeudi 22 juillet 2010 à 10:44:06
Inscrit le vendredi 11 juin 10 - 407 commentaires
31337 $ ça serait mieux
Avatar de CUlater INpactien
CUlater Le jeudi 22 juillet 2010 à 10:55:17
Inscrit le jeudi 17 juin 10 - 1603 commentaires
Joli pied de nez à l'interdiction du full disclosure en France
Avatar de Azariel INpactien
Azariel Le jeudi 22 juillet 2010 à 10:59:56
Inscrit le mardi 25 mai 10 - 321 commentaires
prochaine étape, on vous paye à corriger les bugs Apparemment ça paye d'être un geek qui cherche les bugs partout, sauf pour la France

Il y a 24 commentaires

;