Sécurité IT : tout un programme pour Android

Google va se montrer plus généreux envers les chercheurs qui dénicheront des failles de sécurité dans son système d’exploitation mobile.

Le groupe Internet a profité du sommet Black Hat Mobile Security de Londres pour lancer un programme dédié baptisé Android Security Rewards.

Cette initiative ne couvrira toutefois que la dernière version d’Android disponible pour les smartphones et tablettes commercialisés sur le Play Store aux États-Unis. C’est-à-dire, dans l’état actuel, le Nexus 6 et la Nexus 9 (les autres appareils, de type Nexus Player ou Android Wear, ne sont pas concernés).

Certains bugs trouvés dans du code externe à Android peuvent entrer en ligne de compte s’ils impactent indirectement la sécurité de l’OS ; en se logeant par exemple dans le firmware d’un des composants.

Les éléments d’Android déjà couverts par d’autres programmes ne sont en revanche pas éligibles à récompenses. Illustration avec le navigateur Web Chrome, qui a son propre « Bug Bounty ».

Parmi les autres types de failles qui ne peuvent donner lieu à une gratification figurent les attaques par phishing et plus globalement toutes celles jugées « trop complexes » car elles requièrent des actions bien précises – et peu probables – de la part de l’utilisateur.

Globalement, plus la faille est critique, mieux elle est récompensée. Les sommes versées sont plus importantes pour les chercheurs qui incluent un rapport détaillé, un moyen de reproduire le bug, des scénarios d’exploitation, voire des correctifs.

Dans tous les cas, Google applique le principe du « premier arrivé, premier servi ». A une condition : celle d’être le premier et le seul informé.

Le ticket minimum est fixé à 500 dollars (voir le tableau ci-dessous) pour des vulnérabilités « modérément importantes ». On monte à 8 000 dollars pour une faille critique avec toutes les pièces à conviction.

A noter qu’il existe des « prix spéciaux ». Par exemple, 10 000 euros pour des attaques (ou suites d’attaques) qui permettent de compromettre le noyau depuis une application installée ou en ayant un accès physique à l’appareil. Une somme doublée si l’assaut se déroule à distance… et portée à 30 000 dollars si elle touche la TrustZone (technologie de sécurité) ou le Verified Boot (vérification d’intégrité au démarrage).

Google restreint l’Android Security Rewards à des appareils dont il a pleinement le contrôle, mais estime que cette démarche « bénéficiera à tout l’écosystème ». D’autant plus qu’un correctif peut être récompensé même s’il n’élimine pas la faille (à condition d’apporter une défense supplémentaire pour le noyau, les bibliothèques ou encore les pilotes).

Quiconque ne souhaiterait pas toucher les sommes promises peut demander qu’elles aillent à des organisations caritatives (leur montant est alors doublé).

Google dit avoir versé 4 millions de dollars depuis le lancement, en 2010, de son premier Bug Bounty. Dont près d’un milliard et demi en 2014, à plus de 200 personnes.

Crédit photo : Andrea Danti – Shutterstock.com