Depuis bientôt deux ans, Google anime un programme récompensant la découverte de vulnérabilités sur Chrome. Il consiste à rémunérer les contributeurs extérieurs lorsqu’ils repèrent une faille sur le navigateur web, avec un gain pouvant aller de 500 à 3133,7 dollars l’importance de la découverte. En marge de ce programme, Google participe également à des concours comme Pwn2Own.
Mais le navigateur maison de la firme de Mountain View n’est pas le seul projet du groupe à être concerné par un tel programme. Les espaces web appartenant à Google font aussi l’objet d’un dispositif visant à rémunérer la découverte de vulnérabilités par des contributeurs extérieurs. Celui-ci vient d’ailleurs d’être actualisé, puisque sa grille de récompense propose désormais des gains pouvant atteindre 20 000 dollars.
Pour décrocher cette récompense, il faudra désormais signaler les failles de sécurité suivantes : cross-site scripting (XSS), cross-site request forgery (CSRF) et cross-site script inclusion. Sont également concernées les faiblesses touchant les mécanismes d’authentification et d’autorisation ainsi que l’exécution de code à distance côté serveur et les bugs d’injection de commandes.
Google précise toutefois que le gain pourra limité à 10 000 dollars si les vulnérabilités précédemment citées ne sont pas découvertes dans Google Account, Google Search, Google Wallet, Google Mail, Google Code Hosting et Google Play. La firme américaine fait en effet la distinction entre ses différents espaces web et certains sont autrement plus sensibles que d’autres.
« Si chaque faille de sécurité mérite bien sûr la plus grande attention, nous préférons récompenser plus généreusement la découverte d’une vulnérabilité XSS sur Google Wallet (un porte-feuille électronique, ndlr)que sur Google Art Project (un musée virtuel), où le risque potentiel pour les données des utilisateurs est nettement plus petit » explique ainsi Google. L’importance des gains montre ainsi les sites auxquels Google attache la plus grande importance.
Lancé en novembre 2010, le programme de découverte de failles sur les espaces web de Google donne manifestement pleine satisfaction au géant américain. Plus de 780 signalements portant sur des failles de sécurité de première importances ont été transmis. En l’espace d’un an, Google a versé 460 000 dollars à près de 200 personnes qui ont participé à la sécurisation de ses services.
+ rapide, + pratique, + exclusif
Zéro publicité, fonctions avancées de lecture, articles résumés par l'I.A, contenus exclusifs et plus encore.
Découvrez les nombreux avantages de Numerama+.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !