Les pirates éthiques recevront plus d’argent de Google
Un an après que Google se soit mise à récompenser les pirates qui signalent des failles de sécurité dans Android, l’entreprise promet de revoir ses rétributions à la hausse.
Quiconque peut transmettre un rapport de vulnérabilité avec un ‘proof of concept’ (une démonstration opérationnelle) d’une faille critique, recevra dorénavant quatre mille dollars au lieu de trois mille. Un rapport plus étoffé avec un CTS Test ou un patch rapportera désormais 50 pour cent de plus.
Mais les véritables top-récompenses seront allouées aux hackers qui pourront démontrer ce qu’on appelle en jargon un ‘remote or proximal kernel exploit’. Ce genre de chose rapportait précédemment 20.000 dollars. Ce sera désormais 30.000 dollars. Et quiconque pourra démontrer une ‘remote exploit chain of exploits’ compromettant TrustZone ou Verified Boot recevra désormais jusqu’à cinquante mille dollars contre trente mille précédemment.
Google annonce avoir offert l’année dernière 550.000 dollars à 82 personnes, ce qui représente une moyenne de 2.200 dollars par récompense et 7.600 dollars par personne. Quinze d’entre elles ont reçu plus de dix mille dollars.
Des entreprises telles Google, mais aussi Facebook entre autres, récompensent les pirates qui font part de problèmes de sécurité sur leur plate-forme. Ces pirates représentent autant d’yeux supplémentaires susceptibles de découvrir d’éventuels problèmes. Pour les pirates éthiques, dont parfois aussi des étudiants belges, c’est souvent une façon intéressante de compléter leur CV ou d’arrondir leur fin de mois.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici