Le programme de primes que Google offre aux chasseurs de failles de sécurité dans ses logiciels et services en ligne est un succès.
Dans une contribution blog, les ingénieurs en charge du VRP (Vulnerability Reporting Program) pour Google, Adam Mein et Michal Zalewski, ont révélé que 460 000 dollars ont été versés en un peu plus d’un an.
Ont été signalées, et corrigés, 780 failles rapportées par 200 personnes dans une centaine de produits Google et les codes écrits par une cinquantaine d’entreprises rachetées.
Le VRP est maintenant mis à jour, avec de nouvelles règles d’attribution.
Les plus grosses primes seront désormais payées pour les failles découvertes dans les produits intégrés à Google (les applications des start-up à peine rachetées sont moins importantes), et pour les produits hébergeant les données les plus sensibles (Google Wallet est plus important de ce point de vue que Google Art Project par exemple).
De plus, les primes maximales sont augmentées, passant à 20 000 dollars pour une faille donnant accès aux systèmes de production de Google ou 10 000 dollars pour les failles de type « Injection SQL » ou des contournement de l’authentification.
La prime de 3133,7 dollars s’applique maintenant aux failles XSS, XSRF et autres problèmes ayant un impact important sur des applications très sensibles.
Ces sommes commencent à être très élevées, surtout comparées aux 500 dollars (et 1337 dollars pour les failles critiques) offertes au début du programme, et à l’époque uniquement pour Chrome.
Une inflation qui se retrouve aussi lors des concours de hacking. Par exemple lors du Pwnium 2012, Google offrait 60 000 dollars pour les failles « 0 Days » découvertes dans Chrome.
Mais à l’époque, certains experts en sécurité ont refusé de dévoiler les failles qu’ils ont découverts, argumentant qu’elles se monnayent beaucoup plus chères sur les marchés privés…
Logo : © Xiaoliangge-Fotolia.com
Les attaques de phishing utilisant des QR codes frauduleux intégrés dans des documents PDF joints…
Microsoft a amorcé le déploiement de Windows 11 24H2. Passage en revue des nouvelles fonctionnalités…
L'intégration de Copilot dans la suite bureautique s'accélère. Où trouver l'assistant IA et comment l'utiliser…
Microsoft annonce une phase expérimentale pour lancer Recall sur les PC Copilot+. Elle doit commencer…
Comment réduire la taille des mises à jour de Windows 11 ? Microsoft annonce la…
Déjà doté de la sauvegarde automatique, d'un compteur de caractères et de Copilot, Bloc-notes embarque…