Nouvel eldorado financier des hackers, les programmes de bug bounty mis en place par les entreprises peuvent changer une vie. En témoignent les offres de rachat de Zerodium, une plateforme qui acquiert des vulnérabilités à des particuliers pour les revendre à des agences gouvernementales, fixées à deux millions de dollars pour une faille zero day. À ce petit jeu-là, Google semble lui aussi pouvoir s’aligner sur le plan financier.
Un billet publié sur son blog le 21 novembre 2019 apporte une mise à jour majeure à son programme de récompenses « Android Security Rewards ». Autrefois plafonnés à 200 000 dollars, les prix attribués ont littéralement explosé : la firme de Mountain View offre désormais un million de dollars au hacker parvenant à pirater sa puce de sécurité Titan M installée au sein de ses appareils mobiles Pixel 3 et 4 pour les prévenir de différentes attaques.
Google régale
Pour ce faire, un « exploit de chaîne complet avec persistance d’exécution de code à distance » doit lui être fourni. Mieux, un bonus spécifique de 50 % — 500 000 dollars, donc — est versé en cas d’exploit déniché sur des versions bêta d’Android réservées aux développeurs. Un double pactole constituant ainsi un total d’1,5 million de dollars pour accomplir cette tâche particulièrement difficile.
Depuis le lancement d’« Android Security Rewards » en 2015, plus de 1800 rapports ont été envoyés au colosse aux quatre couleurs, lequel a reversé plus de quatre millions de dollars à divers chercheurs de failles de sécurité. Au cours des douze derniers mois, 1,5 million de dollars ont été réglés par le géant américain, dont 161 337 dollars à une seule et unique personne, auteur du plus gros gain du cru 2019.
Mozilla,15 000 dollars
À son échelle et dans une moindre mesure, Mozilla fait lui aussi grimper les enchères. L’entreprise double les paiements liés à ses sites critiques et services, et triple les gratifications dédiées aux exécutions de code à distance sur des sites critiques à 15 000 dollars. Des sommes certes moins impressionnantes que Google, mais tout de même intéressantes pour tout hacker cherchant à faire gonfler ses comptes bancaires.
Une flopée de nouveaux sites critiques ont également intégré son programme de bug bounty au cours des six derniers mois. À l’image d’Autograph, un service d’authentification cryptographique destiné aux produits Mozilla, Lando, un nouveau service automatique de code, Phabricator, un outil de gestion de code pour Firefox, ou encore Taskcluster, un cadre d’exécution des tâches prenant en charge les processus d’intégration et publication de Mozilla.
Vous avez lu 0 articles sur Numerama ce mois-ci
Tout le monde n'a pas les moyens de payer pour l'information.
C'est pourquoi nous maintenons notre journalisme ouvert à tous.
Mais si vous le pouvez,
voici trois bonnes raisons de soutenir notre travail :
- 1 Numerama+ contribue à offrir une expérience gratuite à tous les lecteurs de Numerama.
- 2 Vous profiterez d'une lecture sans publicité, de nombreuses fonctions avancées de lecture et des contenus exclusifs.
- 3 Aider Numerama dans sa mission : comprendre le présent pour anticiper l'avenir.
Si vous croyez en un web gratuit et à une information de qualité accessible au plus grand nombre, rejoignez Numerama+.
Abonnez-vous gratuitement à Artificielles, notre newsletter sur l’IA, conçue par des IA, vérifiée par Numerama !